Sårbarheten som ble avslørt i Milk Sad-hendelsen, påvirker ikke sikkerheten til den mnemoniske eller private nøkkelsikkerheten til noen OneKey-maskinvare- eller programvarelommebok. Oversikt over sikkerhetsproblemer Problemet stammet fra Libbitcoin Explorer (bx) 3.x, som genererte tilfeldige tall ved hjelp av Mersenne Twister-32-algoritmen kun sådd av systemtiden. Fordi frøplassen var begrenset til 2³²-verdier, var de genererte tilfeldige tallene forutsigbare og sårbare for brute-force-opptelling. Berørt omfang • Trust Wallet-utvidelse v0.0.172 – v0.0.183 • Trust Wallet Core ≤ v3.1.1 (unntatt v3.1.1) • Enhver lommebok – maskinvare eller programvare – som integrerte Libbitcoin Explorer (bx) 3.x eller Trust Wallet Core ≤ v3.1.1 (ekskl. 3.1.1) Teknisk analyse Libbitcoin Explorer (bx) 3.x lider av en alvorlig feil i genereringen av tilfeldige tall. Den bruker den usikre Mersenne Twister-32 pseudo-tilfeldig tallgenerator (PRNG) og er utelukkende avhengig av et 32-bits systemtidsfrø. Viktige spørsmål inkluderer: • Frøet er avledet fra systemtid, slik at angripere delvis kan forutsi verdien. • Frøplassen er bare 2³², noe som muliggjør brute-force-traversering av alle mulige frø i løpet av kort tid. Ved å utnytte disse svakhetene kan en angriper rekonstruere frøet basert på omtrentlig genereringstid, reprodusere den samme PRNG-utdatasekvensen og dermed utlede lommebokens private nøkkel. Fordi frøområdet er så lite, kan en personlig datamaskin med høy ytelse telle opp alle mulige frø i løpet av dager, slik at angripere kan forutsi private nøkler generert på vilkårlige tidspunkter og stjele ressurser i stor skala. OneKey-sikkerhetsvurdering 1. Maskinvare lommebøker ...