Diese beliebte Hardware-Wallet wurde von einer Cybersecurity-Firma gehackt – sollten Sie besorgt sein?

Der Anbieter von Krypto-Hardware-Wallets OneKey wurde vom Cybersecurity-Startup Unciphered gehackt – in einer Sekunde. Der Wallet-Hersteller behauptet, die Schwachstelle in seiner Firmware, die den Einbruch ermöglichte, sei behoben worden.

Am 9. Februar veröffentlichte Unciphered ein Video auf ihrem YouTube-Kanal, in dem sie erklärten, dass sie “eine massive kritische Sicherheitslücke” gefunden hätten, die sie in einer einzigen Sekunde ausnutzen und OneKey knacken konnten.

Eric Michaud, Partner bei Unciphered, erklärte, wie der Hack funktioniert, und wies darauf hin, dass das Gerät über eine zentrale Recheneinheit (CPU) verfügt, die für die Verarbeitung zuständig ist, sowie über ein “sicheres Element”, in dem die Kryptoschlüssel gespeichert werden. Die Kommunikation zwischen diesen beiden ist normalerweise verschlüsselt.

Michaud sagte jedoch,

“Es hat sich herausgestellt, dass es in diesem Fall nicht dafür ausgelegt war. Das haben wir herausgefunden. Man könnte also ein Tool dazwischen schalten, das die Kommunikation überwacht und abfängt und dann seine eigenen Befehle einschleust. Wir haben das so gemacht, dass es dem sicheren Element mitteilt, dass es sich im Werksmodus befindet und wir die Mnemonics herausnehmen können, also das Geld in der Krypto.”

Ein böswilliger Akteur könnte also nach der Demontage des OneKey Mini einen Code einfügen, das Gerät in den “Werksmodus” versetzen, den Sicherheitsstift umgehen und die Mnemonics-Phrase entnehmen.

Das Team hat OneKey kontaktiert und das Bug Bounty-Programm in Anspruch genommen. Das Unternehmen war bereit, mit Unciphered zusammenzuarbeiten, um die Sicherheitslücke zu schließen.

OneKey antwortet: ‘Sicherheitslücke ist behoben’

Nur einen Tag nach der Veröffentlichung des Videos gab OneKey eine Erklärung ab, in der es heißt, dass “niemand betroffen ist” und dass “alle aufgedeckten Sicherheitslücken behoben wurden oder werden”.

Der Wallet-Anbieter sagte dazu,

“Anfang dieses Jahres erhielten wir eine verantwortungsvolle Meldung vom Cybersecurity-Startup Unciphered, die eine potenzielle Schwachstelle in der OneKey-Firmware bestätigte, und unser Hardware-Team hat den Sicherheitspatch aktualisiert, ohne dass jemand betroffen war.”

Diese Angriffe können nicht aus der Ferne durchgeführt werden, betonte das Team und argumentierte, dass ein Angreifer das Gerät zerlegen müsste – sowie “physischen Zugang durch einen dedizierten FPGA-Baustein im Labor haben, um ausgeführt werden zu können.”

Our Response to Recent Security Fix Reports https://t.co/Dp9nNp1D0U

— OneKey Open Source Wallet (@OneKeyHQ) February 10, 2023

OneKey erklärte weiter, dass sie zwar eine 100-prozentige Sicherheit anstreben, dies aber unwahrscheinlich sei und dass weiße Hacker und Sicherheitsfirmen ihnen geholfen haben, Schwachstellen zu entdecken.

Sie behaupteten weiter, dass andere Wallet-Anbieter ähnliche Probleme haben – aber dass OneKey am schnellsten war, diese zu lösen.

“Unciphered sagte uns, dass mehrere andere weltbekannte Hardware-Anbieter ähnliche Probleme hatten, während wir das reaktionsschnellste Team waren und das Problem sofort behoben haben”, sagte OneKey. “Wir haben Unciphered außerdem ein Kopfgeld gezahlt, um ihnen für ihren Beitrag zur Sicherheit von OneKey zu danken.”

Sie können sich die Demonstration des Hacks im folgenden Video ansehen.