120K ключей Биткоина под угрозой, OneKey подтверждает безопасность аппаратного кошелька

TLDR:

• Libbitcoin bx 3.x использовал слабый генератор случайных чисел Mersenne Twister-32, подвергая риску около 120 тысяч приватных ключей Биткоина.
• Версии Trust Wallet 0.0.172–0.0.183 и Core ≤3.1.1 были уязвимы для брутфорс-атак.
• Аппаратные кошельки OneKey генерируют ключи через Secure Element с настоящим генератором случайных чисел, полностью криптографически безопасным.
• Программные кошельки OneKey используют CSPRNG на уровне операционной системы, обеспечивая высококачественную случайность для генерации приватных ключей.
  

Недавнее предупреждение о безопасности криптовалют вызвало тревогу из-за потенциального раскрытия около 120 000 приватных ключей Биктоин. Уязвимость связана с Libbitcoin Explorer (bx) 3.x, который использовал предсказуемую генерацию случайных чисел. 

Сообщается, что Trust Wallet и другие продукты, интегрирующие bx 3.x, были затронуты. OneKey пояснил, что его кошельки, как аппаратные, так и программные, остаются незатронутыми. Оценки безопасности подтверждают, что OneKey использует надежные криптографические стандарты для защиты активов пользователей.

Уязвимость Libbitcoin подвергает риску тысячи ключей Bitcoin

Исследователи безопасности обнаружили критическую уязвимость в Libbitcoin Explorer 3.x. Программное обеспечение использовало алгоритм Mersenne Twister-32, инициализируемый исключительно системным временем. Поскольку пространство начальных значений составляет всего 2³², злоумышленники могут предсказать случайные числа. 

Wu Blockchain подчеркнул, что уязвимость может раскрыть около 120 000 приватных ключей Биктоин.

Расширения Trust Wallet версий 0.0.172–0.0.183 и Core до версии 3.1.1 были затронуты. Другие кошельки, использующие те же библиотеки, также столкнулись с потенциальными рисками. Уязвимость позволяет злоумышленникам реконструировать начальное значение PRNG и получить приватные ключи. 

Стандартный высокопроизводительный ПК может перебрать все возможные начальные значения за несколько дней.

OneKey рассмотрел эти проблемы, пояснив, что его продукты никогда не были затронуты. OneKey подчеркнул, что инцидент Milk Sad не скомпрометировал ни один аппаратный или программный кошелёк. Его команда безопасности оценила ситуацию и подтвердила, что приватные ключи не были раскрыты.

Исследователи предупреждают пользователей не импортировать мнемонические слова из программных кошельков в аппаратные. Это может снизить криптографическую стойкость ключей. Пользователям затронутых версий Trust Wallet рекомендуется немедленно обновиться.

Стандарты безопасности и случайности кошелька OneKey

Аппаратные кошельки OneKey генерируют ключи с использованием Secure Element с настоящим генератором случайных чисел. SE сертифицирован по стандарту EAL6+ и соответствует международным криптографическим стандартам. Устаревшие устройства также полагаются на проверенные внутренние TRNG. 

Качество случайности проходит оценки NIST SP800-22 и FIPS-140-2, обеспечивая непредсказуемость ключей.

Программные кошельки OneKey используют криптографически безопасные PRNG на уровне операционной системы. Настольные и браузерные кошельки полагаются на API Chromium WASM, а мобильные кошельки используют CSPRNG на уровне системы. Эта настройка поддерживает надежную криптографическую целостность. OneKey рекомендует использовать аппаратные кошельки для долгосрочного хранения активов.

Компания подчеркнула, что качество случайности программного кошелька зависит от ОС и оборудования устройства. В случае компрометации энтропия может ослабнуть, потенциально влияя на безопасность. 

OneKey опубликовал подробные оценки энтропии и сертификационные файлы для проверки пользователями.

Для криптоинвесторов вывод ясен: аппаратные кошельки OneKey обеспечивают безопасную среду, в то время как некоторые старые библиотеки остаются уязвимыми. Регулярные обновления и осторожность с мнемоническими фразами имеют решающее значение. 

Пост "120 тысяч ключей Bitcoin под угрозой, OneKey подтверждает безопасность аппаратного кошелька" впервые появился на Blockonomi.