La vulnérabilité connue sous le nom de Milk Sad a révélé des failles critiques dans la génération de clés privées. OneKey a confirmé que ses portefeuilles n'ont pas été affectés par l'incident.
L'incident connu sous le nom de Lait triste a révélé une faille grave dans la génération de clés privées dans certains portefeuilles qui utilisaient Libbitcoin Explorer (bx) version 3.x.
La vulnérabilité, qui affecte plusieurs versions de Trust Wallet et d'autres intégrations, permet aux attaquants de reconstruire les clés privées par force brute.
OneKey, fournisseur de portefeuilles matériels et logiciels pour le secteur, a confirmé que ses produits n'étaient pas affectés. Dans une publication récente, l'entreprise a partagé une analyse technique détaillée et une évaluation de sécurité qui renforce sa position face à ce type de menaces.
Échangez des crypto-monnaies en toute sécurité avec Bit2Me.Une « graine » faible qui a ouvert la porte aux attaquants
L'origine de la vulnérabilité Milk Sad réside dans l'algorithme Mersenne Twister-32, utilisé par Libbitcoin Explorer (bx) 3.x pour générer des nombres aléatoires. Cet algorithme, bien qu'efficace pour les simulations et les calculs statistiques, n'est pas adapté aux applications cryptographiques. Dans ce cas, Le générateur s'appuyait uniquement sur l'heure système comme valeur de départ, ce qui a considérablement réduit l'espace d'entropie. Avec seulement 2³² combinaisons possibles, un attaquant pourrait énumérer toutes les graines en quelques jours à l'aide d'un ordinateur personnel performant.
OneKey a expliqué que cette vulnérabilité permettait aux attaquants de reconstituer la graine s'ils connaissaient l'heure approximative de génération du portefeuille. Une fois la graine obtenue, ils pouvaient reproduire la séquence de nombres pseudo-aléatoires et dériver la clé privéeCela a directement compromis la sécurité des actifs stockés dans les portefeuilles concernés.
Selon Publicación, les versions compromises incluent l'extension de Trust Wallet entre v0.0.172 et v0.0.183et Trust Wallet Core jusqu'à la version 3.1.1, à l'exception de ce dernier. Sont également concernés tous les portefeuilles, matériels et logiciels, intégrant Libbitcoin Explorer 3.x ou Trust Wallet Core dans les versions susmentionnées.
L'incident a suscité des inquiétudes au sein de la communauté crypto, en particulier parmi les utilisateurs qui s'appuyaient sur ces outils pour gérer leurs actifs numériques.
Créez votre compte et accédez à la crypto avec un échange de confiance.Les leçons de l'incident du Milk Sad
La principale recommandation de l’équipe OneKey est Évitez d'importer des mnémoniques générés dans des environnements logiciels dans un portefeuille matérielCette pratique peut hériter de l'entropie inférieure de l'environnement d'origine, compromettant ainsi la sécurité de l'environnement. Clé privéeAu lieu de cela, ils suggèrent de générer et de stocker les clés directement dans l’élément sécurisé du portefeuille matériel, où l’entropie est garantie par des composants audités et inviolables.
De plus, OneKey a réalisé des évaluations de la qualité entropique sur toutes ses plateformes, en utilisant des méthodologies reconnues telles que NIST SP800-22 et FIPS-140-2. Ces résultats confirment la parfaite conformité de ses systèmes aux normes de cryptographie aléatoire, renforçant ainsi la confiance dans ses produits.
L'incident de Milk Sad met également en évidence la nécessité de revoir les algorithmes utilisés dans les bibliothèques open source Comme Libbitcoin Explorer. Bien que ces outils soient essentiels au développement d'applications décentralisées, ils doivent faire l'objet d'audits constants afin de garantir que leurs composants critiques, comme les générateurs de nombres aléatoires, répondent aux exigences de sécurité du secteur.
Pour les développeurs, cette affaire constitue un signal d'alarme quant à l'importance de choisir des algorithmes de génération de clés appropriés. L'utilisation de générateurs de clés numériques non sécurisés (PRNG) non sécurisés, tels que Mersenne Twister, peut avoir de graves conséquences si elle n'est pas accompagnée de mécanismes d'entropie robustes. En résumé, elle recommande à la communauté technique de privilégier l'utilisation de CSPRNG certifiés et d'éviter les dépendances susceptibles de compromettre la sécurité des utilisateurs.
Certificat
Cours sur la Blockchain
Niveau basiqueSuivez ce cours où nous expliquons la blockchain de manière claire, simple et concise afin que vous ayez une idée très claire de ce en quoi consiste cette nouvelle technologie.
Une vulnérabilité qui redéfinit les bonnes pratiques en matière de gestion des clés
L'incident Milk Sad a relancé le débat sur la génération et la protection des clés privées dans l'écosystème crypto. La faille Libbitcoin Explorer a montré que même des outils largement utilisés peuvent contenir des vulnérabilités critiques s'ils ne sont pas correctement audités. La capacité d'un attaquant à forcer des clés privées à partir d'une graine faible représente un risque structurel qu'il est urgent de traiter.
OneKey a réagi avec transparence et rigueur technique, en détaillant la manière dont ses produits sont conçus pour résister à ce type de menaces. Son approche matérielle, assortie de certifications internationales et de tests d'entropie, offre une couche de sécurité supplémentaire qui devient essentielle dans un environnement où les attaques sont de plus en plus sophistiquées.
La recommandation d'utiliser des portefeuilles matériels pour la gestion d'actifs à long terme n'est pas nouvelle, mais elle prend tout son sens dans ce contexte. La génération de clés doit être effectuée dans des environnements audités, avec des composants inviolables et des algorithmes certifiés. Importer des clés depuis un logiciel peut sembler pratique, mais cela comporte des risques qui peuvent être évités grâce à de bonnes pratiques.
L'affaire Milk Sad encourage également les utilisateurs à vérifier les versions de leur portefeuille et à se tenir informés des mises à jour de sécurité. La confiance dans l'écosystème crypto dépend de la capacité de ses acteurs à réagir rapidement et de manière responsable à des incidents comme celui-ci. La transparence, les audits réguliers et l'utilisation de normes internationales sont des piliers fondamentaux pour bâtir une infrastructure sûre et résiliente.
Opérez en toute sécurité et transparence dans chaque transaction
