安全研究人员在OneKey自托管钱包中发现关键漏洞,约12万比特币私钥可能因Libbitcoin Explorer库的随机数缺陷面临暴力破解风险。
OneKey报告指出,问题根源在于bx采用了Mersenne Twister-32算法。该算法仅以系统时间作为随机数种子,导致随机性被限制在2³²种可能值内。攻击者可在数日内通过测试所有可能的种子来预测钱包密钥。
"Milk Sad事件中披露的漏洞不会影响任何OneKey硬件或软件钱包的助记词及私钥安全性,"该公司在X平台郑重声明。
OneKey安全评估
OneKey对macOS、Windows、Android和iOS系统进行了全平台测试,以评估其助记词生成质量。结果证实所有平台均采用符合NIST SP 800-22和FIPS 140-2标准的密码学安全随机数生成器。其浏览器版本使用Chrome内置安全工具生成随机数,而Android/iOS应用则调用手机操作系统内置的安全系统。
此外,每台OneKey硬件钱包均配备独立安全芯片,在设备内部生成随机数,遵循严格安全规范以降低篡改风险。旧款机型同样采用通过国际安全认证的内置系统。但OneKey建议用户勿将软件钱包生成的恢复短语导入硬件钱包,因随机性不足可能导致私钥更易被推测。
与此同时,思科Talos和谷歌专家发现朝鲜黑客组织Famous Chollima正在区块链智能合约中植入恶意软件。该组织使用名为"EtherHiding"的新技术注入有害代码,主要针对求职者进行虚假面试以窃取加密货币和个人信息。
此次事件凸显了生成钱包密钥时真正随机性的重要性。自主生成密钥的硬件钱包能有效提升黑客的破解难度。