Cardanoブロックチェーンの創設組織の1つであるEMURGOは、発表した、SecondFiウォレットに影響を与えた攻撃で失われた資産を回収する計画を策定したと。会社によると、回収メカニズムの開発とテストの完了後、資金返還のプロセスは約二週間で完了する見込みです。
この発表はEMURGOのCEOであるPhillip Ponによって行われ、フォレンジック調査はすでに完了したと伝えました。同社は、影響を受けたウォレットの残高を検証し、「明確な回収ソリューション」と位置付けるものを特定したと述べました。
提示されたスケジュールによると、最初の一週間は資産回収を担うツールの開発に充てられます。その後、ユーザーが該当する金額を受け取り始める前に、そのソリューションはテスト段階を経る予定です。
同社はまた、影響を受けた顧客に対し、侵害されたウォレット内の資金を動かしたり、SecondFiの公式指示に含まれないいかなる手続きも行わないよう案内しました。EMURGOによると、プロセス全体はインシデントの影響を受けたウォレットの現在の状態を考慮して構築されました。
Phillip Ponはさらに、ユーザーの参加を必要とするいかなる段階もまだ開始されていないと強調しました。彼は、SecondFiが回復プロセス中に秘密鍵、シードフレーズ、またはウォレットへのアクセスに関するその他のいかなるデータも決して要求しないと警告しました。
この発表は、同社がユーザーへの払い戻しについて具体的な期限を示した初めての事例となります。それにもかかわらず、返還メカニズムに関する技術的詳細や、各顧客が受け取るべき金額を計算する方法論については、まだ公表されていません。
攻撃は374ウォレットに影響
同社の情報によると、この脆弱性は21日から23日までの間に悪用されました。3件の外部攻撃により、当時約US$ 2,4 milhõesと評価された約16 milhões de ADAが流出し、374のアドレスに分散していました。
これらの移動に加えて、SecondFiは、独立した第三者カストディアンへ約129 milhões de ADAの予防的な送金を実施したと発表しました。この措置は、調査が進行中の間に新たな損失を防ぐことを目的としていました。
同社はまた、侵入者によって使用された2つのデジタルウォレットも特定しました。そのうち1つは171ウォレットの資金流出に関与したとされ、2つ目はさらに203に影響を与えました。攻撃に関連する約4 milhões de ADAは、責任チームによって監視されている1つのアドレスに引き続き残っており、この件はすでに当局に通報されています。
レポートが脆弱性の可能性のある起源を示す
SecondFiはこの問題を、自社のウォレット生成ソフトウェアの不具合に起因するとしました。この不具合により、トランザクション署名中に秘密鍵が露出する可能性があったとされています。同社によると、侵害されたアドレスが引き続き使用されている場合、別のウォレットでリカバリーフレーズを復元してもリスクは解消されません。
Tibane Labsが公表した独立した技術分析は、より詳細な説明を示しました。レポートによると、この脆弱性はnonceの再利用には関連しておらず、Ed25519署名の実装上の誤りに関連していました。
研究者らによると、独立開発者によってnpmで公開されたtrantorという実験的SDKが、EMURGOが以前使用していた監査済みバージョンの代わりに組み込まれていたとされています。その結果、本来秘密のままであるべき情報が、ブロックチェーンに記録された単一の署名から再構築可能になっていました。
Tibane Labsはさらに、使用されたライブラリ自体は安全なままだったが、ウォレットで採用された実装では不可欠なパラメータが未定義のままになっており、そのため公開署名から秘密鍵を復元できるようになっていたと述べました。
現時点で、EMURGOはこのインシデントに関する詳細な技術分析を公表しておらず、独立レポートが示した結論についても公式にはコメントしていません。セキュリティ研究者のTaylor Monahanも今週、SecondFiは「独自の暗号技術を開発した」と述べ、ソフトウェアはクローズドソースで監査されていなかったとしました。
Tibane Labsの分析によると、露出した可能性があるのは8 de junho以降に行われた署名のみであり、それ以前に署名されたトランザクションは、以前に監査された実装によって保護されたままでした。

