La vulnérabilité divulguée dans l'incident Milk Sad n'affecte pas la sécurité des mnémoniques ou des clés privées de tout portefeuille matériel ou logiciel OneKey. Aperçu de la vulnérabilité Le problème provient de Libbitcoin Explorer (bx) 3.x, qui générait des nombres aléatoires en utilisant l'algorithme Mersenne Twister-32, semé uniquement par l'heure système. Comme l'espace de semence était limité à 2³² valeurs, les nombres aléatoires générés étaient prévisibles et vulnérables à l'énumération par force brute. Portée affectée • Trust Wallet Extension v0.0.172 – v0.0.183 • Trust Wallet Core ≤ v3.1.1 (excluant v3.1.1) • Tout portefeuille — matériel ou logiciel — qui a intégré Libbitcoin Explorer (bx) 3.x ou Trust Wallet Core ≤ v3.1.1 (excl. 3.1.1) Analyse technique Libbitcoin Explorer (bx) 3.x souffre d'un défaut sévère dans sa génération de nombres aléatoires. Il utilise le générateur de nombres pseudo-aléatoires (PRNG) Mersenne Twister-32, qui est peu sécurisé, et repose uniquement sur une semence de temps système de 32 bits. Les problèmes clés incluent : • La semence est dérivée du temps système, permettant aux attaquants de prédire partiellement sa valeur. • L'espace de semence est seulement de 2³², permettant une traversée par force brute de toutes les semences possibles dans un court laps de temps. En exploitant ces faiblesses, un attaquant peut reconstruire la semence en fonction du temps de génération approximatif, reproduire la même séquence de sortie PRNG, et ainsi dériver la clé privée du portefeuille. Parce que l'espace de semence est si petit, un ordinateur personnel haute performance peut énumérer toutes les semences possibles en quelques jours, permettant aux attaquants de prédire les clés privées générées à des moments arbitraires et de voler des actifs à grande échelle. Évaluation de la sécurité OneKey 1. Portefeuilles matériels ...