OneKey прокомментировал инцидент Milk Sad, подтвердив, что уязвимость не влияет на безопасность его программных и аппаратных кошельков.

ChainCatcher сообщает, что согласно официальному китайскому аккаунту OneKey в Twitter, недавняя уязвимость генератора случайных чисел, связанная с инцидентом "Milk Sad", не затрагивает безопасность мнемонических фраз и приватных ключей в аппаратных и программных кошельках OneKey.

Уязвимость возникла из-за использования в Libbitcoin Explorer (bx) версии 3.x псевдослучайного генератора чисел на основе системного времени и алгоритма Mersenne Twister-32, где пространство семян составляет всего 2³² бит. Это позволяет злоумышленникам предсказывать или перебором вычислять приватные ключи. Под угрозой оказались некоторые старые версии Trust Wallet и все продукты, использующие bx 3.x или старую версию Trust Wallet Core. OneKey отмечает, что их аппаратные кошельки используют встроенный TRNG (аппаратный генератор истинно случайных чисел) на безопасном чипе с сертификацией EAL6+; старые устройства также прошли тесты энтропии SP800-22 и FIPS140-2; программные кошельки используют системный CSPRNG (криптографически стойкий генератор случайных чисел) для генерации случайных чисел, что соответствует криптографическим стандартам. Команда подчеркивает, что пользователям рекомендуется управлять активами через аппаратные кошельки и не импортировать мнемонические фразы, созданные программными кошельками, в аппаратные устройства для обеспечения максимальной безопасности.