OneKey tumugon sa Milk Sad incident, kinumpirma na ang kahinaan ay hindi nakakaapekto sa seguridad ng kanilang software at hardware wallet

ChainCatcher balita, ayon sa OneKey Chinese Twitter, kaugnay ng kamakailang "Milk Sad incident" na may kinalaman sa random number vulnerability, nilinaw ng OneKey team na ang nasabing vulnerability ay hindi nakakaapekto sa seguridad ng mnemonic at private key ng OneKey software at hardware wallet.

Ang vulnerability ay nagmula sa Libbitcoin Explorer (bx) 3.x na bersyon na gumagamit ng pseudo-random number generator na nakabase sa system time at Mersenne Twister-32 algorithm, na may seed space na 2³² bits lamang. Maaaring mahulaan o brute force ng attacker ang private key. Ang mga apektadong produkto ay kinabibilangan ng ilang lumang bersyon ng Trust Wallet at lahat ng gumagamit ng bx 3.x o lumang bersyon ng Trust Wallet Core. Ayon sa OneKey, ang kanilang hardware wallet ay gumagamit ng EAL6+ secure chip na may built-in na TRNG true random number generator; ang mga lumang device ay pumasa rin sa SP800-22 at FIPS140-2 entropy tests; ang software wallet naman ay gumagamit ng system-level CSPRNG entropy source para gumawa ng random numbers, na sumusunod sa cryptographic standards. Binigyang-diin ng team na inirerekomenda nilang gumamit ng hardware wallet sa pamamahala ng assets, at hindi dapat i-import sa hardware wallet ang mnemonic na ginawa ng software wallet upang matiyak ang pinakamataas na seguridad.