A vulnerabilidade divulgada no incidente Milk Sad não afeta a segurança da mnemônica ou da chave privada de qualquer carteira de hardware ou software OneKey. Visão Geral da Vulnerabilidade O problema originou-se do Libbitcoin Explorer (bx) 3.x, que gerava números aleatórios usando o algoritmo Mersenne Twister-32 semeado apenas pelo tempo do sistema. Como o espaço de sementes estava limitado a 2³² valores, os números aleatórios gerados eram previsíveis e vulneráveis à enumeração por força bruta. Escopo Afetado • Trust Wallet Extension v0.0.172 – v0.0.183 • Trust Wallet Core ≤ v3.1.1 (excluindo v3.1.1) • Qualquer carteira—hardware ou software—que integrou o Libbitcoin Explorer (bx) 3.x ou Trust Wallet Core ≤ v3.1.1 (excl. 3.1.1) Análise Técnica O Libbitcoin Explorer (bx) 3.x sofre de uma falha grave em sua geração de números aleatórios. Ele usa o gerador de números pseudo-aleatórios (PRNG) Mersenne Twister-32, que é inseguro, e depende exclusivamente de uma semente de tempo de sistema de 32 bits. Os principais problemas incluem: • A semente é derivada do tempo do sistema, permitindo que atacantes prevejam parcialmente seu valor. • O espaço de sementes é apenas 2³², permitindo a travessia por força bruta de todas as sementes possíveis em um curto período. Ao explorar essas fraquezas, um atacante pode reconstruir a semente com base no tempo de geração aproximado, reproduzir a mesma sequência de saída do PRNG e, assim, derivar a chave privada da carteira. Como o espaço de sementes é tão pequeno, um computador pessoal de alto desempenho pode enumerar todas as sementes possíveis em poucos dias, permitindo que atacantes prevejam chaves privadas geradas em pontos de tempo arbitrários e roubem ativos em grande escala. Avaliação de Segurança OneKey 1. Carteiras de Hardware ...