PANews는 10월 17일 OneKey의 중국 트위터 계정에 따르면 최근 '밀크 새드 사건'에서 발견된 난수 취약점과 관련하여 OneKey 팀은 해당 취약점이 OneKey의 소프트웨어 및 하드웨어 지갑의 니모닉과 개인 키의 보안에는 영향을 미치지 않는다고 밝혔다고 보도했습니다.

이 취약점은 시스템 시간과 메르센 트위스터-32 알고리즘을 기반으로 하는 의사 난수 생성기를 사용하는 Libbitcoin Explorer(bx) 3.x에서 비롯됩니다. 시드 공간이 2³² 비트에 불과하기 때문에 공격자는 개인 키를 예측하거나 무차별 대입 공격을 통해 공격할 수 있습니다. 이 취약점은 일부 이전 버전의 Trust Wallet과 bx 3.x 또는 이전 버전의 Trust Wallet Core를 사용하는 모든 제품에 영향을 미칩니다.

OneKey는 자사 하드웨어 지갑이 TRNG 순수 난수 생성기가 내장된 EAL6+ 보안 칩을 사용한다고 밝혔습니다. 기존 기기도 SP800-22 및 FIPS140-2 엔트로피 테스트를 통과했습니다. 반면, 소프트웨어 지갑은 시스템 수준의 CSPRNG 엔트로피 소스를 사용하여 암호화 표준을 준수하는 난수를 생성합니다. OneKey 팀은 사용자들이 자산 관리 시 하드웨어 지갑을 사용하고, 소프트웨어 지갑에서 생성된 니모닉을 하드웨어 지갑으로 가져오지 않도록 권고하며, 이를 통해 보안을 극대화할 수 있다고 강조했습니다.