OneKey répond à l'incident Milk Sad et confirme que la faille n'affecte pas la sécurité de ses portefeuilles logiciels et matériels

Selon ChainCatcher, d'après le compte Twitter chinois de OneKey, concernant la récente "Milk Sad Event" impliquant une faille de génération de nombres aléatoires, l'équipe OneKey clarifie que cette vulnérabilité n'affecte pas la sécurité des phrases mnémoniques et des clés privées des portefeuilles logiciels et matériels OneKey.

La faille provient de l'utilisation, par la version 3.x de Libbitcoin Explorer (bx), d'un générateur pseudo-aléatoire basé sur l'heure système et l'algorithme Mersenne Twister-32, avec un espace de graines de seulement 2³² bits ; un attaquant peut donc prédire ou déduire la clé privée par force brute. Les produits concernés incluent certaines anciennes versions de Trust Wallet et tous les produits utilisant bx 3.x ou une ancienne version de Trust Wallet Core. OneKey indique que son portefeuille matériel utilise une puce de sécurité EAL6+ intégrant un générateur de nombres aléatoires véritables (TRNG) ; les anciens appareils ont également passé les tests d'entropie SP800-22 et FIPS140-2 ; le portefeuille logiciel utilise une source d'entropie CSPRNG au niveau du système pour générer des nombres aléatoires, conforme aux standards cryptographiques. L'équipe souligne qu'il est recommandé aux utilisateurs de gérer leurs actifs avec un portefeuille matériel et de ne pas importer dans le portefeuille matériel une phrase mnémonique générée par un portefeuille logiciel, afin d'assurer le plus haut niveau de sécurité.