Trust Walletで脆弱性が発見、17万ドルの被害か
暗号資産(仮想通貨)ウォレットのトラストウォレット(Trust Wallet)の一部アドレスに脆弱性が含まれていたことが4月22日に発表された。対象となるのは、2022年11月14日から23日にブラウザ拡張機能によって生成されたアドレスとのこと。
なおこの脆弱性をついたハッキングが2件発生し、約17万ドルの損失が出たことが報告されている。
トラストウォレットは、既にこの問題を修正したことを発表。さらに発生した損失を補填するとした。
また現在被害を受けていないものの、被害を受ける可能性のある資産が88,000ドル程あることも報告されている。トラストウォレットは該当するウォレットを利用するユーザーに対し、速やかに安全なアドレスへ移動するよう警告している。
トラストウォレットの発表によるとこの脆弱性は、当該期間に作成されたアドレスの秘密鍵生成に利用された「乱数生成アルゴリズム」に含まれる脆弱性に起因するものであったという。
具体的には、トラストウォレットがブラウザ拡張機能で利用しているソフトウェアライブラリ内のウェブアセンブリ(WASM)による乱数生成が、バグにより予測しやすい状態になっていたことが原因であるとのこと。
そのため当該期間外に作成されたアドレスや、トラストウォレットにインポートした他のウォレットで生成されたアドレス、トラストウォレットモバイルアプリで作成されたアドレスは安全とのことである。
なお今回発見された脆弱性は、「バグバウンティプログラム」によってユーザーから報告されたものであるという。なお「バグバウンティ」は、脆弱性を発見し運営に報告することで報酬が得られるプログラムだ。
今月18日、イーサリアム(Ethereum)ベースのブロックチェーンにて5000ETH以上の原因不明のエクスプロイト(不正な資金流出)が報告されており、未だ原因は不明のままである。今回のトラストウォレットの脆弱性は、この原因不明のエクスプロイトと関係はないと報告されている。
なおトラストウォレットは、大手暗号資産取引所バイナンス(Binance)傘下のウォレットアプリケーションだ。
1/10 Trust Wallet is built on security & trust. So we’re sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
— Trust Wallet (@TrustWallet) April 22, 2023
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87
関連ニュース
- イーサリアムベースのブロックチェーンで原因不明の資金流出が発生、メタマスクは原因を否定
- AppleのiOSとmacOS旧バージョンに脆弱性、暗号資産ウォレットの秘密鍵が流出する可能性も
- BNBチェーンの脆弱性をJump Cryptoが指摘、修正は既に完了
- クロスチェーン通信プロトコル「レイヤーゼロ」、重大な脆弱性の指摘を否定
- DEX「ユニスワップ」に脆弱性、早急な修正により被害ゼロ
参考:トラストウォレット
デザイン:一本寿和
images:iStocks/Panorama-Images