PANewsは10月17日、OneKeyの中国版Twitterアカウントによると、最近の「Milk Sad事件」に関係する乱数脆弱性に関して、OneKeyチームは、この脆弱性がOneKeyのソフトウェアウォレットとハードウェアウォレットのニーモニックと秘密鍵のセキュリティには影響しないと明言したと報じた。

この脆弱性は、システム時間とメルセンヌ・ツイスター32アルゴリズムに基づく疑似乱数生成器を使用するLibbitcoin Explorer (bx) 3.xに起因します。シード空間がわずか2³²ビットであるため、攻撃者は秘密鍵を予測したり、ブルートフォース攻撃を仕掛けたりすることが可能になります。この脆弱性は、Trust Walletの一部の旧バージョンと、bx 3.xまたは旧バージョンのTrust Wallet Coreを使用しているすべての製品に影響します。

OneKeyは、同社のハードウェアウォレットはTRNG真性乱数生成器を内蔵したEAL6+セキュリティチップを採用していると述べています。旧型のデバイスはSP800-22およびFIPS140-2エントロピーテストにも合格しています。一方、同社のソフトウェアウォレットは、暗号規格に準拠したシステムレベルのCSPRNGエントロピーソースを使用して乱数を生成します。同社は、最大限のセキュリティを確保するため、ユーザーは資産管理にハードウェアウォレットを使用し、ソフトウェアウォレットで生成されたニーモニックをハードウェアウォレットにインポートしないことを推奨しています。