Trust Wallet、昨年11月末作成のアドレスに脆弱性確認。推定17万ドルの損失か

Trust Walletで脆弱性が発見、17万ドルの被害か

暗号資産(仮想通貨)ウォレットのトラストウォレット(Trust Wallet)の一部アドレスに脆弱性が含まれていたことが4月22日に発表された。対象となるのは、2022年11月14日から23日にブラウザ拡張機能によって生成されたアドレスとのこと。

なおこの脆弱性をついたハッキングが2件発生し、約17万ドルの損失が出たことが報告されている。

トラストウォレットは、既にこの問題を修正したことを発表。さらに発生した損失を補填するとした。

また現在被害を受けていないものの、被害を受ける可能性のある資産が88,000ドル程あることも報告されている。トラストウォレットは該当するウォレットを利用するユーザーに対し、速やかに安全なアドレスへ移動するよう警告している。

トラストウォレットの発表によるとこの脆弱性は、当該期間に作成されたアドレスの秘密鍵生成に利用された「乱数生成アルゴリズム」に含まれる脆弱性に起因するものであったという。

具体的には、トラストウォレットがブラウザ拡張機能で利用しているソフトウェアライブラリ内のウェブアセンブリ(WASM)による乱数生成が、バグにより予測しやすい状態になっていたことが原因であるとのこと。

そのため当該期間外に作成されたアドレスや、トラストウォレットにインポートした他のウォレットで生成されたアドレス、トラストウォレットモバイルアプリで作成されたアドレスは安全とのことである。

なお今回発見された脆弱性は、「バグバウンティプログラム」によってユーザーから報告されたものであるという。なお「バグバウンティ」は、脆弱性を発見し運営に報告することで報酬が得られるプログラムだ。

今月18日、イーサリアム(Ethereum)ベースのブロックチェーンにて5000ETH以上の原因不明のエクスプロイト(不正な資金流出)が報告されており、未だ原因は不明のままである。今回のトラストウォレットの脆弱性は、この原因不明のエクスプロイトと関係はないと報告されている。

なおトラストウォレットは、大手暗号資産取引所バイナンス(Binance)傘下のウォレットアプリケーションだ。

関連ニュース

参考:トラストウォレット
デザイン:一本寿和
images:iStocks/Panorama-Images

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

合わせて読みたい記事

【11/1話題】イミュータブルがSECからウェルズ通知、アルゼンチンLABITCONFがサトシの正体明かすと告知など(音声ニュース)

イミュータブルが米SECからウェルズ通知受ける、「IMX」証券性の疑いか、アルゼンチンのカンファレンス「LABITCONF」、サトシ・ナカモトが正体明かすと告知、フランクリン・テンプルトン、「オンチェーン米国政府マネーファンド」をイーサL2「Base」に展開、Crypto[.]comがSEC登録ブローカーディーラー買収、米国ユーザーに株式取引機会提供へ、セキュリタイズ、トークン化資産の管理機能統合の「Securitize Fund Services」立ち上げ、米マイクロストラテジー、「21/21プラン」で420億ドル調達を計画、ビットコイン購入資金で、BIS、中国主導の「中銀デジタル通貨」プロジェクトから離脱、Sui対応の携帯型ゲーム機「SuiPlay0X1」、格闘ゲーム『サムライスピリッツR』リリースへ、ヴィタリック、イーサリアム最後のチェックポイント「ザ・スプラージ」解説、バイナンス共同創業者、「Web3が身近な社会実現目指す」と語る。伝統的金融や規制当局と協力の姿勢も=BBW

Sponsored

アルゼンチンのカンファレンス「LABITCONF」、サトシ・ナカモトが正体明かすと告知(有識者コメントあり)

アルゼンチンで11月1日から開催されるビットコイン(Bitcoin)のカンファレンス「LABITCONF(Latin American Bitcoin & Blockchain Conference)」にて、ビットコインの考案者であるサトシ・ナカモトが自身の正体を明らかにすると、同カンファレンスの公式Xよりプレスリリースが出された

フランクリン・テンプルトン、「オンチェーン米国政府マネーファンド」をイーサL2「Base」に展開

米大手資産運用企業フランクリン・テンプルトン(Franklin Templeton)が、「オンチェーン米国政府マネーファンド(OnChain U.S. Government Money Fund:FOBXX)」をイーサリアム(Ethereum)のレイヤー2(L2)ブロックチェーン「ベース(Base)」上でローンチした。フランクリン・テンプルトンが公式Xにて10月31日発表した