120K Kunci Bitcoin Berisiko, OneKey Mengkonfirmasi Keamanan Dompet Perangkat Keras

TLDR:

• Libbitcoin bx 3.x menggunakan Mersenne Twister-32 RNG yang lemah, mengekspos sekitar 120k kunci privat Bitcoin.
• Trust Wallet versi 0.0.172–0.0.183 dan Core ≤3.1.1 rentan terhadap serangan brute-force.
• Dompet perangkat keras OneKey menghasilkan kunci melalui Secure Element dengan RNG sejati, sepenuhnya aman secara kriptografi.
• Dompet perangkat lunak OneKey mengandalkan CSPRNG tingkat OS yang memastikan keacakan berkualitas tinggi untuk pembuatan kunci privat.
  

Peringatan keamanan kripto baru-baru ini telah memunculkan alarm tentang potensi tereksposnya sekitar 120.000 kunci privat Bitcoin. Kerentanan ini berasal dari Libbitcoin Explorer (bx) 3.x, yang menggunakan pembangkitan angka acak yang dapat diprediksi. 

Trust Wallet dan produk lain yang mengintegrasikan bx 3.x dilaporkan terkena dampak. OneKey mengklarifikasi bahwa dompetnya, baik perangkat keras maupun perangkat lunak, tetap tidak terpengaruh. Penilaian keamanan mengkonfirmasi bahwa OneKey menggunakan standar kriptografi yang kuat untuk melindungi aset pengguna.

Kelemahan Libbitcoin Membahayakan Ribuan Kunci Bitcoin

Peneliti keamanan menandai kelemahan kritis di Libbitcoin Explorer 3.x. Perangkat lunak tersebut menggunakan algoritma Mersenne Twister-32 yang hanya diberi seed oleh waktu sistem. Karena ruang seed hanya 2³², penyerang dapat memprediksi angka acak. 

Wu Blockchain menyoroti bahwa kelemahan tersebut dapat mengekspos sekitar 120.000 kunci privat Bitcoin.

Ekstensi Trust Wallet v0.0.172–0.0.183 dan versi Core hingga 3.1.1 terkena dampak. Dompet lain yang menggunakan pustaka yang sama juga menghadapi potensi risiko. Kerentanan ini memungkinkan penyerang untuk merekonstruksi seed PRNG dan mendapatkan kunci privat. 

PC berkinerja tinggi standar dapat menghitung semua kemungkinan seed dalam hitungan hari.

OneKey mengatasi kekhawatiran ini, mengklarifikasi bahwa produknya tidak pernah terdampak. OneKey menekankan bahwa insiden Milk Sad tidak mengkompromikan dompet perangkat keras atau perangkat lunak apa pun. Tim keamanannya menilai situasi dan mengkonfirmasi tidak ada kunci privat yang terekspos.

Peneliti memperingatkan pengguna untuk tidak mengimpor mnemonik dari dompet perangkat lunak ke dompet perangkat keras. Melakukan hal tersebut dapat mengurangi kekuatan kriptografi kunci. Pengguna versi Trust Wallet yang terdampak didorong untuk segera memperbarui.

Keamanan Dompet OneKey dan Standar Keacakan

Dompet perangkat keras OneKey menghasilkan kunci menggunakan Secure Element dengan generator angka acak sejati. SE tersebut bersertifikasi EAL6+ dan memenuhi standar kriptografi internasional. Perangkat lama juga mengandalkan TRNG internal yang telah diuji. 

Kualitas keacakan lulus evaluasi NIST SP800-22 dan FIPS-140-2, memastikan ketidakpastian kunci.

Dompet perangkat lunak OneKey menggunakan PRNG yang aman secara kriptografi pada tingkat sistem operasi. Dompet desktop dan browser mengandalkan API WASM Chromium, sementara dompet seluler menggunakan CSPRNG tingkat sistem. Pengaturan ini mempertahankan integritas kriptografi yang kuat. OneKey menyarankan penggunaan dompet perangkat keras untuk penyimpanan aset jangka panjang.

Perusahaan menekankan bahwa kualitas keacakan dompet perangkat lunak bergantung pada OS dan perangkat keras perangkat. Jika dikompromikan, entropi bisa melemah, berpotensi mempengaruhi keamanan. 

OneKey mempublikasikan penilaian entropi terperinci dan file sertifikasi untuk verifikasi pengguna.

Bagi investor kripto, kesimpulannya jelas: dompet perangkat keras OneKey menyediakan lingkungan yang aman sementara pustaka lama tertentu tetap rentan. Pembaruan rutin dan kehati-hatian dengan mnemonik sangat penting. 

Postingan 120K Kunci Bitcoin Berisiko, OneKey Mengkonfirmasi Keamanan Dompet Perangkat Keras pertama kali muncul di Blockonomi.