隨機數漏洞

ChainCatcher 消息，据 OneKey 中文推特稱，針對近期 "Milk Sad 事件" 涉及的隨機數漏洞，OneKey 團隊澄清該漏洞不影響 OneKey 軟硬體錢包的助記詞與私鑰安全。漏洞源於 Libbitcoin Explorer (bx) 3.x 版本使用基於系統時間與 Mersenne Twister-32 算法的伪隨機數生成器，種子空間僅 2³² bits，攻擊者可通過預測或暴力窮舉推導私鑰。受影響範圍包括部分舊版 Trust Wallet 及所有使用 bx 3.x 或舊版 Trust Wallet Core 的產品。OneKey 表示，其硬體錢包採用 EAL6+ 安全晶片內置 TRNG 真隨機數生成器；老款設備亦通過 SP800-22 與 FIPS140-2 熵測試；軟體錢包則使用系統級 CSPRNG 熵源生成隨機數，符合密碼學標準。團隊強調，建議用戶使用硬體錢包管理資產，不應將軟體錢包生成的助記詞導入硬體錢包，以確保最高安全性。