トラストウォレットで17万ドルの損失被害発生
2018年の買収により、大手仮想通貨あ取引所バイナンスの傘下に入った仮想通貨ウォレットプロバイダーのトラストウォレット(Trust Wallet)は、170,000ドル(約2,200万円)のユーザー資金損失につながるセキュリティの脆弱性を報告した事が分かった。
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87— Trust Wallet (@TrustWallet) April 22, 2023
1/10 Trust Walletはセキュリティと信頼の上に構築されています。そのため、ブラウザー拡張機能を使用して11月14~23、22日に作成された新しいアドレスに影響する脆弱性を共有しています。
問題は修正されました。リスクのある資金のほとんどは保護されています。影響を受けるユーザーは、以下に示すアクションを実行する必要があります。
公式Twitterによると、トラストウォレットは、匿名のセキュリティ研究者が2022年11月に同社のバグ報奨金プログラムを通じてセキュリティリスクを報告したと主張。このセキュリティレポートに基づき、トラストウォレットはオープンソーライブラリのウォレットCoreにプログラミング言語の一種であるWebAssemblyの脆弱性を知らされたとのこと。
現在、セキュリティリスクは解消されているものの、2つのエクスプロイトにつながり、顧客が約170,000ドルを失ったと報告している。同社の声明によると、2022年11月14日から11月23日の間にブラウザー拡張機能によって作成されたすべての新しいウォレットアドレスは、この脆弱性の主なホストであり、その時間外に作成されたウォレットは安全であると見なされるという。
トラストウォレットは新ウォレットに移動するよう促す
2022年12月下旬と2023年3月下旬に異常な資金移動を経験したユーザーは、セキュリティの脆弱性の犠牲者と見なされる可能性が浮上。
ただし、トラストウォレットは、モバイルアプリのユーザー、またはブラウザー拡張機能にウォレットアドレスをインポートしただけのユーザーが、この違反から完全に保護されていることをすべての人に保証。一方、同社は、残りのすべての脆弱なアドレス所有者に、約88,000ドル相当の資産を新しいウォレットアドレスに移動するよう促した。
トラストウォレットでは償還計画を作成
トラストウォレットは、このセキュリティの脆弱性を一般に知らせる一方で、影響を受けた顧客にいくらかの猶予を与え、同社はエクスプロイトのすべての被害者に支払うことを目的とした償還計画を作成した。
ただし、このプログラムの資格を得るには、所有権の請求フォーム確認プロセスに合格する必要があり、同ウォレットは、影響を受ける全顧客の完全なリストを既に持っていると主張しており、その全員が同社から個人的な通知を受け取っているとのこと。さらに、このセキュリティの問題は、数日前に発生した5,000ETHウォレットの流出とはほとんど関連がないと述べている。トラストウォレットは、サービス改善に引き続き取り組んでおり、資産のセキュリティが引き続き最優先事項であると主張している。
2023年も仮想通貨強盗が横行
仮想通貨強盗は仮想通貨業界にとっては疫病のようなものであり、2023年になっても衰える様子はないと考えられている。
すでに、2023年初以降、20以上のプロジェクトがいずれかの攻撃を受け、投資家の資金が失われている。今年に入ってこれまでの被害の中で最も注目すべき強盗は、3月に発生したDeFi(分散型金融)プロトコルであるオイラー(Euler Finance)から2億ドル(約268.3億円)相当の仮想通貨が盗まれたことである。ハッカーは数日後に9,000万ドル(約120億円)を返したものの、この事象に対して効果的に対抗するには、業界でより高いセキュリティ基準が必要であることは明らかだ。
