OneKey responde ao incidente Milk Sad e confirma que a vulnerabilidade não afeta a segurança de suas carteiras de software e hardware

De acordo com ChainCatcher, segundo o perfil oficial da OneKey no Twitter em chinês, em relação à recente “Milk Sad Incident” envolvendo uma vulnerabilidade no gerador de números aleatórios, a equipe da OneKey esclareceu que essa falha não afeta a segurança das frases mnemônicas e das chaves privadas das carteiras de software e hardware da OneKey.

A vulnerabilidade se origina do uso, pela versão 3.x do Libbitcoin Explorer (bx), de um gerador de números pseudoaleatórios baseado no tempo do sistema e no algoritmo Mersenne Twister-32, cujo espaço de sementes é de apenas 2³² bits. Isso permite que atacantes possam prever ou deduzir as chaves privadas por meio de força bruta. O alcance do impacto inclui algumas versões antigas da Trust Wallet e todos os produtos que utilizam bx 3.x ou versões antigas do Trust Wallet Core. A OneKey afirmou que sua carteira de hardware utiliza um chip de segurança EAL6+ com gerador de números verdadeiramente aleatórios (TRNG) embutido; dispositivos antigos também passaram nos testes de entropia SP800-22 e FIPS140-2; já a carteira de software utiliza fontes de entropia CSPRNG em nível de sistema para gerar números aleatórios, em conformidade com os padrões criptográficos. A equipe enfatiza que recomenda aos usuários gerenciar seus ativos com carteiras de hardware e que não se deve importar frases mnemônicas geradas por carteiras de software para carteiras de hardware, a fim de garantir o mais alto nível de segurança.