Milk Sad olayında ortaya çıkan güvenlik açığı, herhangi bir OneKey donanım veya yazılım cüzdanının anımsatıcı veya özel anahtar güvenliğini etkilemez. Güvenlik Açığına Genel Bakış Sorun, yalnızca sistem zamanına göre tohumlanan Mersenne Twister-32 algoritmasını kullanarak rastgele sayılar üreten Libbitcoin Explorer (bx) 3.x'ten kaynaklandı. Tohum alanı 2³² değerlerle sınırlı olduğundan, oluşturulan rastgele sayılar tahmin edilebilirdi ve kaba kuvvet numaralandırmasına karşı savunmasızdı. Etkilenen Kapsam • Trust Cüzdan Uzantısı v0.0.172 – v0.0.183 • Trust Wallet Core ≤ v3.1.1 (v3.1.1 hariç) • Libbitcoin Explorer (bx) 3.x veya Trust Wallet Core ≤ v3.1.1 (3.1.1 hariç) entegre eden herhangi bir cüzdan (donanım veya yazılım) Teknik Analiz Libbitcoin Explorer (bx) 3.x, rastgele sayı üretiminde ciddi bir kusurdan muzdariptir. Güvenli olmayan Mersenne Twister-32 sözde rasgele sayı üretecini (PRNG) kullanır ve yalnızca 32 bitlik bir sistem zamanı tohumuna dayanır. Temel sorunlar şunları içerir: • Tohum, sistem zamanından türetilir ve saldırganların değerini kısmen tahmin etmesine olanak tanır. • Tohum alanı yalnızca 2³²'dir ve olası tüm tohumların kısa sürede kaba kuvvetle geçişini sağlar. Saldırgan, bu zayıflıklardan yararlanarak tohumu yaklaşık oluşturma süresine göre yeniden oluşturabilir, aynı PRNG çıktı dizisini yeniden üretebilir ve böylece cüzdanın özel anahtarını türetebilir. Tohum alanı çok küçük olduğundan, yüksek performanslı bir kişisel bilgisayar tüm olası tohumları günler içinde numaralandırabilir ve saldırganların rastgele zaman noktalarında oluşturulan özel anahtarları tahmin etmesine ve varlıkları büyük ölçekte çalmasına olanak tanır. OneKey Güvenlik Değerlendirmesi 1. Donanım Cüzdanları ...