ads
bc-game

暗号通貨ウォレットの不具合により、ビットコインとイーサリアムで数百万ドルが流出

1 分で読めます
PortalCripto
暗号通貨ウォレットの不具合により、ビットコインとイーサリアムで数百万ドルが流出
提供元: Mohammad Yasir/Pexels — 暗号通貨ウォレットの不具合により、ビットコインとイーサリアムで数百万ドルが流出
広告

数千の暗号通貨ウォレットが、リカバリーフレーズの生成における不具合(seed phrases)により攻撃に対して脆弱になっている可能性があります。この問題はブロックチェーンセキュリティ企業のCoinspectによって特定され、脆弱性は「"Ill Bloom"」と分類されました。

同社によると、この不具合はリカバリーフレーズ作成時に安全でない疑似乱数ジェネレーターを使用することに関連しています。実際には、期待されるランダム性が低下し、特定の組み合わせがより予測しやすくなり、犯罪者による攻撃を助けることになります。

潜在的に影響を受けるウォレットは、Bitcoin、Ethereum、Polygon、Rootstock、Tron、Solanaのネットワークで動作しています。Coinspectによれば、この問題は特に、モバイル端末向けのソフトウェアウォレットのうち、主にあまり知られておらず利用されていないものにおいて、より起こりやすいとのことです。

この警告は、捜査当局が少なくともUS$ 5 миллионов相当の暗号通貨の損失を、5月27日以降に確認したことを受けて勢いを増しました。この金額の一部は、脆弱な2.114件のアドレスのうち431のウォレットを侵害する攻撃で流出し、約US$ 3,1 milhõesが盗まれました。先週の日曜日には、さらにUS$ 2 milhõesが露出していたウォレットから移動されました。

Coinspectは、ユーザーに対し、同社が提供するツールを通じて自分のアドレスを確認するよう助言しています。この脆弱性はまだ悪用されている可能性があるため、さらなる攻撃を防ぐ目的で完全な技術的詳細は秘匿されたままです。

「あなたの許可なしに資金が最近動いたのであれば、この脆弱性が原因である可能性があります」と、Coinspectは述べました。

この件は、暗号通貨のセキュリティに特化した他の企業によっても追跡されるようになりました。

「私たちは、Coinspectが発行したウォレットIll Bloomの弱いランダム性に関するリスク警告を綿密に監視しています」と、SlowMistが月曜日にXに投稿しました。

ハードウェア・ウォレットは影響を受けていません

現時点での調査では、ハードウェア・ウォレットでリカバリーフレーズを作成したユーザーは、この脆弱性に対して保護されたままであることが示されています。

「現在の証拠は、ハードウェア・ウォレットでシードを生成したユーザーが影響を受けていないことを示しています」とCoinspectは述べました。

同社は、現在の大半のソフトウェア・ウォレットでもこの問題は見られないと付け加えました。研究者によれば、最大のリスクは、ここ数年で開発された人気の低いモバイルアプリに集中しています。

「追加調査により、現在の大半のソフトウェア・ウォレットもまた脆弱ではないことが示されています」と同氏は付け加えました。「最有力の候補は、利用頻度の低いモバイル端末向けソフトウェア・ウォレットでシードを生成したユーザーです。」

類似の障害がすでに損失を引き起こしている

リカバリーフレーズの生成における脆弱性によってユーザーが危険にさらされるのは、今回が初めてではありません。

2023年、研究者はTrust Walletのブラウザ拡張機能に欠陥を発見し、可能な組み合わせの量を大幅に制限していましたseed phrases。この脆弱性により、いくつかのGPUだけを使った総当たり攻撃が可能になる可能性がありましたが、資金の損失が記録される前に修正されました。

同じ年に、別の欠陥がLibbitcoin Explorerに影響を与えました。この問題により、攻撃者は総当たりで秘密鍵を解読でき、暗号資産の約US$ 900 mil が盗まれる事態につながりました。

これらの事例は、ウォレットのセキュリティはリカバリーフレーズの生成から始まることを裏付けています。このプロセスで使われるランダム性が損なわれると、高度な保護メカニズムであっても、犯罪者が鍵を見つけて保存された資産を空にしてしまうのを防ぐのに十分でない可能性があります。

Tags