OneKey risponde all'incidente Milk Sad, confermando che la vulnerabilità non influisce sulla sicurezza dei suoi wallet software e hardware.

Secondo ChainCatcher, come riportato dall’account Twitter cinese di OneKey, in merito alla recente “Milk Sad incident” relativa a una vulnerabilità nei generatori di numeri casuali, il team di OneKey chiarisce che questa vulnerabilità non influisce sulla sicurezza delle mnemonic phrase e delle chiavi private dei wallet software e hardware OneKey.

La vulnerabilità deriva dal fatto che la versione 3.x di Libbitcoin Explorer (bx) utilizza un generatore di numeri pseudo-casuali basato sull’ora di sistema e sull’algoritmo Mersenne Twister-32, con uno spazio dei semi di soli 2³² bit; un attaccante può quindi prevedere o dedurre la chiave privata tramite attacchi di forza bruta. Sono interessati alcune vecchie versioni di Trust Wallet e tutti i prodotti che utilizzano bx 3.x o versioni precedenti di Trust Wallet Core. OneKey afferma che il proprio hardware wallet utilizza un chip di sicurezza EAL6+ con TRNG (True Random Number Generator) integrato; i dispositivi più vecchi sono stati sottoposti a test di entropia SP800-22 e FIPS140-2; il wallet software utilizza invece una fonte di entropia CSPRNG a livello di sistema per generare numeri casuali, conforme agli standard crittografici. Il team sottolinea che si raccomanda agli utenti di gestire i propri asset tramite hardware wallet e di non importare mnemonic phrase generate da wallet software su hardware wallet, al fine di garantire il massimo livello di sicurezza.