Ledger Connectに脆弱性、複数のDappsが攻撃に利用される。現在は修正済み

Ledger Connectの脆弱性により複数のDappsが攻撃に利用

暗号資産(仮想通貨)ハードウェアウォレット開発企業レジャー(Ledger)提供のソフトウェアライブラリの脆弱性が悪用された。レジャーが12月14日に発表した。これにより、多くのユーザーの資産がエクスプロイトを受けたことが分かっている。

悪用された脆弱性は「レジャー」が提供するデバイスを分散型アプリケーション(DApps)に接続する際に使用されるライブラリ「レジャーコネクトキット(Ledger Connect Kit)」。同ライブラリを利用すれば、レジャーデバイスをDAppsに接続するためのボタンの設置が可能になる。

「レジャー」の発表によると今回の悪用は、同社の元従業員がフィッシング攻撃を受けたことに起因したものだ。攻撃者が悪意のあるファイルをライブラリのファイルとしてアップロードしたことにより発生したとのことだ。

この悪用により、「レジャーコネクトキット」を採用したDAppsが攻撃に利用され、多くのユーザーの資産がエクスプロイトを受けたことがわかっている。

なお、このエクスプロイトによって流出した資産のうち、テザー社が発行するUSDTはすでに資金凍結したことがテザー社のCEOパオロ・アルドイノ(Paolo Ardoino)氏によって発表されている。

現在は、同ライブラリの悪意のあるバージョンがすでに削除され、修正が完了したバージョンである「1.1.8」の公開が完了している。しかし「レジャー」は各アプリケーションの対応には差があるため、明確なアップデート完了のアナウンスが行われるまでは注意が必要であるとの声も上がっている。

「レジャー」は12月15日、同社の公式Xアカウントにて攻撃を受けてから修正が行われるまでのタイムラインを公開している。

その投稿の中では「常にレジャーに明確な署名をするよう注意してください。レジャーの画面に表示されるのは、実際に署名したものです。ブラインド署名が必要な場合は、追加のレジャーミントウォレットを使用するか、トランザクションを手動で解析してください。現時点では、資金に影響を受けた可能性のある顧客と積極的に話し合い、それらの顧客を支援するために積極的に取り組んでいます。私たちは告訴を提出し、攻撃者を見つけるために法執行機関と協力して捜査を行っています」と述べられている。

関連ニュース

参考:レジャーブログ
images:iStocks/Myvector

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

合わせて読みたい記事

【11/1話題】イミュータブルがSECからウェルズ通知、アルゼンチンLABITCONFがサトシの正体明かすと告知など(音声ニュース)

イミュータブルが米SECからウェルズ通知受ける、「IMX」証券性の疑いか、アルゼンチンのカンファレンス「LABITCONF」、サトシ・ナカモトが正体明かすと告知、フランクリン・テンプルトン、「オンチェーン米国政府マネーファンド」をイーサL2「Base」に展開、Crypto[.]comがSEC登録ブローカーディーラー買収、米国ユーザーに株式取引機会提供へ、セキュリタイズ、トークン化資産の管理機能統合の「Securitize Fund Services」立ち上げ、米マイクロストラテジー、「21/21プラン」で420億ドル調達を計画、ビットコイン購入資金で、BIS、中国主導の「中銀デジタル通貨」プロジェクトから離脱、Sui対応の携帯型ゲーム機「SuiPlay0X1」、格闘ゲーム『サムライスピリッツR』リリースへ、ヴィタリック、イーサリアム最後のチェックポイント「ザ・スプラージ」解説、バイナンス共同創業者、「Web3が身近な社会実現目指す」と語る。伝統的金融や規制当局と協力の姿勢も=BBW

Sponsored

アルゼンチンのカンファレンス「LABITCONF」、サトシ・ナカモトが正体明かすと告知(有識者コメントあり)

アルゼンチンで11月1日から開催されるビットコイン(Bitcoin)のカンファレンス「LABITCONF(Latin American Bitcoin & Blockchain Conference)」にて、ビットコインの考案者であるサトシ・ナカモトが自身の正体を明らかにすると、同カンファレンスの公式Xよりプレスリリースが出された

フランクリン・テンプルトン、「オンチェーン米国政府マネーファンド」をイーサL2「Base」に展開

米大手資産運用企業フランクリン・テンプルトン(Franklin Templeton)が、「オンチェーン米国政府マネーファンド(OnChain U.S. Government Money Fund:FOBXX)」をイーサリアム(Ethereum)のレイヤー2(L2)ブロックチェーン「ベース(Base)」上でローンチした。フランクリン・テンプルトンが公式Xにて10月31日発表した