
La vulnerabilità nota come Milk Sad ha evidenziato falle critiche nella generazione delle chiavi private. OneKey ha confermato che i suoi wallet non sono stati interessati dall'incidente.
L'incidente noto come Latte Triste ha rivelato un grave difetto nella generazione di chiavi private in alcuni portafogli che utilizzavano Libbitcoin Explorer (bx) versione 3.x.
La vulnerabilità, che colpisce più versioni di Trust Wallet e altre integrazioni, consente agli aggressori di ricostruire le chiavi private tramite forza bruta.
OneKey, fornitore di portafogli hardware e software per il settore, ha confermato che i suoi prodotti non sono stati interessati. In un post recente, l'azienda ha condiviso un'analisi tecnica dettagliata e una valutazione della sicurezza che rafforzano la sua posizione contro questo tipo di minacce.
Fai trading di criptovalute in modo sicuro e protetto con Bit2Me.Un “seme” debole che ha aperto la porta agli aggressori
L'origine della vulnerabilità Milk Sad è nell'algoritmo Mersenne Twister-32, utilizzato da Libbitcoin Explorer (bx) 3.x per generare numeri casuali. Questo algoritmo, sebbene efficiente per simulazioni e calcoli statistici, non è adatto per applicazioni crittografiche. In questo caso, Il generatore si basava esclusivamente sul tempo di sistema come seed, che ha ridotto drasticamente lo spazio entropico. Con solo 2³² possibili combinazioni, un aggressore potrebbe enumerare tutti i seed in pochi giorni utilizzando un personal computer ad alte prestazioni.
OneKey ha spiegato che la vulnerabilità consentiva agli aggressori di ricostruire il seed se conoscevano l'ora approssimativa in cui era stato generato il portafoglio. Una volta ottenuto il seed, potevano riprodurre la sequenza di numeri pseudo-casuali e ricavare la chiave privataCiò ha compromesso direttamente la sicurezza delle risorse conservate nei portafogli interessati.
Según la pubblicazione, le versioni compromesse includono l'estensione di Portafoglio Trust tra v0.0.172 e v0.0.183E Trust Wallet Core fino alla versione 3.1.1, ad eccezione di quest'ultimo. Sono interessati anche tutti i wallet, sia hardware che software, che integrano Libbitcoin Explorer 3.x o Trust Wallet Core nelle versioni sopra menzionate.
L'incidente ha sollevato preoccupazioni nella comunità delle criptovalute, in particolare tra gli utenti che facevano affidamento su questi strumenti per gestire i propri asset digitali.
Crea il tuo account e accedi alle criptovalute con un exchange affidabile.Lezioni dall'incidente di Milk Sad
La raccomandazione principale del team OneKey è Evitare di importare mnemonici generati in ambienti software in un portafoglio hardwareQuesta pratica può ereditare la minore entropia dall'ambiente originale, compromettendo la sicurezza dell'ambiente. chiava privataSuggeriscono invece di generare e archiviare le chiavi direttamente all'interno dell'elemento sicuro del portafoglio hardware, dove l'entropia è garantita da componenti verificati e a prova di manomissione.
Inoltre, OneKey ha eseguito valutazioni della qualità dell'entropia su tutte le sue piattaforme, utilizzando metodologie riconosciute come NIST SP800-22 e FIPS-140-2. I risultati di questi test confermano la piena conformità dei suoi sistemi agli standard di casualità crittografica, rafforzando la fiducia nei suoi prodotti.
L'incidente di Milk Sad evidenzia anche la necessità di rivedere gli algoritmi utilizzati nelle librerie open source come Libbitcoin Explorer. Sebbene questi strumenti siano fondamentali per lo sviluppo di applicazioni decentralizzate, devono essere sottoposti a controlli costanti per garantire che i loro componenti critici, come i generatori di numeri casuali, soddisfino i requisiti di sicurezza del settore.
Per gli sviluppatori, il caso rappresenta un campanello d'allarme sull'importanza di scegliere algoritmi di generazione delle chiavi appropriati. L'uso di PRNG non sicuri, come Mersenne Twister, può avere gravi conseguenze se non accompagnato da solidi meccanismi di entropia. In breve, si raccomanda alla comunità tecnica di dare priorità all'uso di CSPRNG certificati ed evitare dipendenze che potrebbero compromettere la sicurezza degli utenti.
Corso Blockchain
Livello di baseSegui questo corso in cui spieghiamo la blockchain in modo chiaro, semplice e conciso, così avrai un'idea molto chiara di in cosa consiste questa nuova tecnologia.
Una vulnerabilità che ridefinisce le buone pratiche nella gestione delle chiavi
L'incidente di Milk Sad ha riacceso il dibattito su come le chiavi private vengono generate e protette nell'ecosistema crypto. La falla di Libbitcoin Explorer ha dimostrato che anche gli strumenti più diffusi possono contenere vulnerabilità critiche se non adeguatamente verificati. La capacità di un aggressore di forzare brute force le chiavi private da un seed debole rappresenta un rischio strutturale che deve essere affrontato con urgenza.
OneKey ha risposto con trasparenza e rigore tecnico, illustrando dettagliatamente come i suoi prodotti sono progettati per resistere a questo tipo di minacce. Il suo approccio basato sull'hardware, con certificazioni internazionali e test di entropia, offre un ulteriore livello di sicurezza che sta diventando essenziale in un ambiente in cui gli attacchi stanno diventando sempre più sofisticati.
La raccomandazione di utilizzare portafogli hardware per la gestione patrimoniale a lungo termine non è nuova, ma assume rilevanza in questo contesto. La generazione delle chiavi dovrebbe essere effettuata in ambienti verificati, con componenti a prova di manomissione e algoritmi certificati. L'importazione delle chiavi dal software può sembrare comoda, ma comporta rischi che possono essere evitati adottando buone pratiche.
Il caso Milk Sad incoraggia inoltre gli utenti a rivedere le versioni dei propri wallet e a rimanere informati sugli aggiornamenti di sicurezza. La fiducia nell'ecosistema crypto dipende dalla capacità dei suoi stakeholder di rispondere rapidamente e responsabilmente a incidenti come questo. Trasparenza, audit continui e l'utilizzo di standard internazionali sono pilastri fondamentali per la costruzione di un'infrastruttura sicura e resiliente.
Operare con sicurezza e trasparenza in ogni transazione

