サイバーセキュリティ企業Uncipheredによる最近の発表により、10年前のウォレットの脆弱性が明るみに出され、約21億ドル相当の仮想通貨が危険にさらされる可能性があることが明らかになりました。この脆弱性は2011年から2015年に作成されたブラウザベースのウォレットに影響し、Bitcoin(BTC)、Dogecoin(DOGE)、Litecoin(LTC)、Zcash(ZEC)を含む複数のネットワークに広がっています。
仮想通貨ウォレットの脆弱性の発見
Uncipheredは、初期投資家のNick Sullivanが2014年にBlockchain.info(現在のBlockchain.com)を使用してビットコイン(BTC)のウォレットを作成し、後に誤ってコンピュータのメモリを消去してウォレットの秘密鍵を保存せずにコインへのアクセスを失ったため、60万ドル相当のビットコイン(BTC)を回収しようとした際に、このウォレットの脆弱性に偶然出くわしました。
調査の過程で、UncipheredはBlockchain.infoがランダムなウォレットキーを作成するために使用していたBitcoinJSと呼ばれるコードが、すべてのウォレットを十分にランダムに生成していないことを発見し、それによって攻撃を受けやすくなっていることが判明しました。この脆弱性は同じBitcoinJSを使用していたDogecoin.infoにも拡がり、多くの古いDogecoinユーザーを同じリスクにさらしています。
ウォレットの脆弱性の程度
Uncipheredによると、2012年3月より前に作成されたウォレットには約1億ドル相当の資産が保持されており、ホームコンピュータユーザーによって簡単にハッキングされる可能性があります。さらに、2015年までに作成されたウォレットには500億ドル相当の資産が保持されており、少なくとも5億ドルが攻撃を受けやすい状態にあります。
暗号専門家たちは2014年にウォレット生成のランダム性に欠陥があることを指摘し、その後、方法を改善してきましたが、Uncipheredは2016年以降に生成されたウォレットにはランダム性に関する脆弱性が見つかりませんでした。
被害者への警告
Uncipheredはこの脆弱性を公に開示する前に、数ヶ月間にわたり影響を受けるユーザーにリスクについて静かに警告しました。課題は、数百万人の被害者に資産を移動するよう説得することであり、潜在的な泥棒に脆弱性について密告することなくすることでした。
このようなウォレットを生成する最大のサイトであるBlockchain.comは、Uncipheredによって影響を受けたユーザーに静かに通知するよう求められました。Blockchain.comは110万人以上の影響を受けたウォレット保持者にメールを送信し、サイトを訪れたユーザーのウォレットを自動的に更新する方法を見つけました。
ただし、多くの影響を受けたユーザーは、ウォレットを作成したサイトがもはや稼働していないため、直接警告を受けていません。
ウォレットのセキュリティに懸念を抱くユーザーのために、cryptoview.ioのようなプラットフォームが提供することで、仮想通貨ポートフォリオの包括的な表示が可能になり、資産を監視し、潜在的な脆弱性について通知を受けることができます。
