OneKey menanggapi insiden Milk Sad, memastikan kerentanan tersebut tidak memengaruhi keamanan dompet perangkat lunak maupun perangkat keras mereka

Menurut berita dari ChainCatcher, akun Twitter resmi OneKey dalam bahasa Mandarin menyatakan bahwa terkait dengan "Milk Sad Incident" baru-baru ini yang melibatkan kerentanan pada generator angka acak, tim OneKey menegaskan bahwa kerentanan tersebut tidak mempengaruhi keamanan mnemonic dan private key pada dompet perangkat lunak maupun perangkat keras OneKey.

Kerentanan ini berasal dari penggunaan generator angka acak semu berbasis waktu sistem dan algoritma Mersenne Twister-32 pada Libbitcoin Explorer (bx) versi 3.x, dengan ruang seed hanya 2³² bits, sehingga penyerang dapat memprediksi atau melakukan brute force untuk menurunkan private key. Dampak kerentanan ini mencakup sebagian versi lama Trust Wallet serta semua produk yang menggunakan bx 3.x atau Trust Wallet Core versi lama. OneKey menyatakan bahwa dompet perangkat keras mereka menggunakan chip keamanan EAL6+ dengan TRNG (True Random Number Generator) internal; perangkat lama juga telah melalui pengujian entropi SP800-22 dan FIPS140-2; sedangkan dompet perangkat lunak menggunakan sumber entropi CSPRNG tingkat sistem untuk menghasilkan angka acak, sesuai dengan standar kriptografi. Tim menekankan, pengguna disarankan untuk mengelola aset menggunakan dompet perangkat keras dan tidak mengimpor mnemonic yang dihasilkan oleh dompet perangkat lunak ke dalam dompet perangkat keras, guna memastikan tingkat keamanan tertinggi.