La vulnerabilidad conocida como Milk Sad expuso fallas críticas en la generación de claves privadas. OneKey confirmó que sus billeteras no fueron afectadas por el incidente.
El incidente conocido como Milk Sad reveló una falla grave en la generación de claves privadas en ciertas billeteras que utilizaban Libbitcoin Explorer (bx) versión 3.x.
La vulnerabilidad, que afecta a múltiples versiones de Trust Wallet y otras integraciones, permite que atacantes puedan reconstruir claves privadas mediante fuerza bruta.
OneKey, un proveedor de billeteras de hardware y software de la industria, confirmó que sus productos no fueron afectados. En una publicación reciente, la empresa compartió un análisis técnico detallado y una evaluación de seguridad que refuerza su posición frente a este tipo de amenazas.
Opera cripto con seguridad y respaldo en Bit2MeUna “semilla” débil que abrió la puerta a los atacantes
El origen de la vulnerabilidad Milk Sad está en el algoritmo Mersenne Twister-32, utilizado por Libbitcoin Explorer (bx) 3.x para generar números aleatorios. Este algoritmo, aunque eficiente para simulaciones y cálculos estadísticos, no es adecuado para aplicaciones criptográficas. En este caso, el generador se basaba únicamente en la hora del sistema como semilla, lo que reducía drásticamente el espacio de entropía. Con solo 2³² combinaciones posibles, un atacante podía enumerar todas las semillas en cuestión de días usando una computadora personal de alto rendimiento.
OneKey explicó que la vulnerabilidad permitía a los atacantes reconstruir la semilla si conocían el momento aproximado en que se generó la billetera. Una vez obtenida la semilla, podían reproducir la secuencia de números pseudoaleatorios y derivar la clave privada. Esto comprometía directamente la seguridad de los activos almacenados en las billeteras afectadas.
Según la publicación, las versiones comprometidas incluyen la extensión de Trust Wallet entre v0.0.172 y v0.0.183, así como Trust Wallet Core hasta la versión 3.1.1, con excepción de esta última. También se ven afectadas todas las billeteras, tanto de hardware como de software, que integren Libbitcoin Explorer 3.x o Trust Wallet Core en las versiones mencionadas.
El incidente ha generado preocupación en la comunidad cripto, especialmente entre usuarios que confiaban en estas herramientas para la gestión de sus activos digitales.
Crea tu cuenta y accede a cripto con un exchange confiableLecciones del incidente Milk Sad
La principal recomendación del equipo de OneKey es evitar importar frases mnemotécnicas generadas en entornos de software a una billetera de hardware. Esta práctica puede heredar la menor entropía del entorno original, comprometiendo la seguridad de la clave privada. En cambio, sugieren generar y almacenar las claves directamente dentro del elemento seguro de la billetera de hardware, donde la entropía está garantizada por componentes auditados y resistentes a manipulaciones.
Además, OneKey ha realizado evaluaciones de calidad de entropía en todas sus plataformas, utilizando metodologías reconocidas como NIST SP800-22 y FIPS-140-2. Los resultados de estas pruebas confirman que sus sistemas cumplen plenamente con los estándares de aleatoriedad criptográfica, lo que refuerza la confianza en sus productos.
El incidente Milk Sad también pone en evidencia la necesidad de revisar los algoritmos utilizados en bibliotecas de código abierto como Libbitcoin Explorer. Aunque estas herramientas son fundamentales para el desarrollo de aplicaciones descentralizadas, deben someterse a auditorías constantes para garantizar que sus componentes críticos, como los generadores de números aleatorios, cumplan con los requisitos de seguridad del sector.
Para los desarrolladores, el caso representa una llamada de atención sobre la importancia de elegir algoritmos adecuados para la generación de claves. El uso de PRNGs inseguros, como Mersenne Twister, puede tener consecuencias graves si no se acompaña de mecanismos robustos de entropía. En suma, recomienda que la comunidad técnica priorice el uso de CSPRNGs certificados y evite dependencias que puedan comprometer la seguridad de los usuarios.
Certificado
Curso de Blockchain
Nivel básicoEntra en este curso donde te explicamos blockchain de una manera clara, sencilla y concisa para que tengas una idea muy clara de en qué consiste esta nueva tecnología.
Una vulnerabilidad que redefine las buenas prácticas en la gestión de claves
El incidente Milk Sad reactivó el debate sobre cómo se generan y protegen las claves privadas en el ecosistema cripto. La falla en Libbitcoin Explorer mostró que incluso herramientas ampliamente utilizadas pueden contener vulnerabilidades críticas si no se auditan adecuadamente. La capacidad de un atacante para predecir claves privadas mediante fuerza bruta, partiendo de una semilla débil, representa un riesgo estructural que debe abordarse con urgencia.
OneKey respondió con transparencia y rigor técnico, detallando cómo sus productos están diseñados para resistir este tipo de amenazas. Su enfoque basado en hardware, con certificaciones internacionales y pruebas de entropía, ofrece una capa adicional de seguridad que se vuelve esencial en un entorno donde los ataques son cada vez más sofisticados.
La recomendación de utilizar billeteras de hardware para la gestión de activos a largo plazo no es nueva, pero cobra relevancia en este contexto. La generación de claves debe realizarse en entornos auditados, con componentes resistentes a manipulaciones y algoritmos certificados. Importar claves desde software puede parecer conveniente, pero implica riesgos que pueden evitarse con buenas prácticas.
El caso Milk Sad también invita a los usuarios a revisar las versiones de sus billeteras y a mantenerse informados sobre las actualizaciones de seguridad. La confianza en el ecosistema cripto depende de la capacidad de sus actores para responder con rapidez y responsabilidad ante incidentes como este. La transparencia, la auditoría constante y el uso de estándares internacionales son pilares fundamentales para construir una infraestructura segura y resiliente.
Opera con seguridad y transparencia en cada transacción
