Kerentanan yang diungkapkan dalam insiden Milk Sad tidak memengaruhi keamanan mnemonik atau kunci pribadi dari dompet perangkat keras atau perangkat lunak OneKey apa pun. Ikhtisar Kerentanan Masalah ini berasal dari Libbitcoin Explorer (bx) 3.x, yang menghasilkan angka acak menggunakan algoritma Mersenne Twister-32 yang hanya ditanam oleh waktu sistem. Karena ruang benih dibatasi hingga nilai 2³², angka acak yang dihasilkan dapat diprediksi dan rentan terhadap pencacahan brute-force. Cakupan yang Terpengaruh • Ekstensi Dompet Kepercayaan v0.0.172 – v0.0.183 • Trust Wallet Core ≤ v3.1.1 (tidak termasuk v3.1.1) • Dompet apa pun—perangkat keras atau perangkat lunak—yang mengintegrasikan Libbitcoin Explorer (bx) 3.x atau Trust Wallet Core ≤ v3.1.1 (tidak termasuk 3.1.1) Analisis Teknis Libbitcoin Explorer (bx) 3.x menderita cacat parah dalam pembuatan angka acaknya. Ini menggunakan generator angka pseudo-acak (PRNG) Mersenne Twister-32 yang tidak aman dan hanya mengandalkan benih waktu sistem 32-bit. Masalah utama meliputi: • Benih berasal dari waktu sistem, memungkinkan penyerang untuk memprediksi sebagian nilainya. • Ruang benih hanya 2³², memungkinkan traversal brute-force dari semua benih yang mungkin dalam waktu singkat. Dengan mengeksploitasi kelemahan ini, penyerang dapat merekonstruksi benih berdasarkan perkiraan waktu pembangkitan, mereproduksi urutan keluaran PRNG yang sama, dan dengan demikian memperoleh kunci pribadi dompet. Karena ruang benih sangat kecil, komputer pribadi berperforma tinggi dapat menghitung semua benih yang mungkin dalam beberapa hari, memungkinkan penyerang untuk memprediksi kunci pribadi yang dihasilkan pada titik waktu sewenang-wenang dan mencuri aset dalam skala besar. Penilaian Keamanan OneKey 1. Dompet Perangkat Keras ...