XRP投資家がレジャー(Ledger)ウォレットから数千XRPを失ったと報告
XRPコミュニティのメンバーであるTall Dallas Girl(トールダラスガール)氏は、レジャー(Ledger)ウォレットに影響を与えたハッキング疑惑により、17,000XRPの大規模損失をXを通じて報告している事が分かった。
HACKED! Installed @Ledger firmware on 9/29/23 who by the way has not responded!!
Hacked at 1:16 am CST 9/30/23– all XRP was drained. My device was NOT attached to my computer and my computer was not on!
THEIF’S ADDRESS! That it was sent to: r4kfNXYZm2sNQqtcNXLtQn3LMA7Nd6cqZx pic.twitter.com/B0kAZIX9HF— TallDallasGal (@TallDallasGal) October 1, 2023
ハッキングされました!2023年9月29日にレジャーファームウェアをインストールしましたが、ちなみに応答がありません。
2023年9月30日午前1時16分(CST)にハッキングされ、すべてのXRPが排出されました。デバイスがコンピューターに接続されておらず、コンピューターの電源が入っていませんでした。
泥棒の住所!送信先: r4kfNXYZm2sNQqtcNXLtQn3LMA7Nd6cqZx
同氏は、不幸な事件が、9月29日にデスクトップ用の最新レジャーファームウェアをインストールしたときに始まったことを明らかにし、アップデートをインストールした翌日の午前1時16分(CST=日本時間10月1日4:16)ちょうどに、ウォレットが侵害され、残高が枯渇したと主張。同氏は、レジャーデバイスがコンピューターに接続されておらず、ハッキング中はコンピューターの電源がオフになっていたと述べた。同氏によると、Xにこの件を持ち込んだ時点では、レジャーは同氏に返答していなかったとのこと。
リップルのペーパーウォレット作成サイトであるビットホンプ(Bithomp)からのデータは、ハッキングに関与したとされるアドレスが9月30日06:16に17,495XRPを実際に受け取ったことを確認している。このアドレスは30分以内にアセットを仮想通貨取引所HitBTCに送信しており、アドレスはトランザクション発生時にアクティブ化されている。
XRPコミュニティの反応
他のコミュニティメンバーが同氏のレジャーデバイスの出所と回復フレーズをどのように保存したかについて尋ねたところ、2020年11月にレジャーウェブサイトからデバイスを直接購入したことを明らかにした。
I purchased from ledger website Nov, 2020, stored on printed paper
— TallDallasGal (@TallDallasGal) October 2, 2023
2020年11月に台帳ウェブサイトから購入し、印刷された紙に保存
同氏はさらに、シードフレーズを印刷した紙にオフラインで保存したことを確認。これらの回答からは、ハッキングの可能性や、使用済みのレジャーデバイスの購入や、知らずに秘密鍵の公開などのいくつかのシナリオが示唆される可能性についての疑問が生じた。XRPコミュニティで著名な人物として知られるTheCrypticWolf氏が会話に加わり、ユーザーに偽レジャーサポートアカウントに注意するよう促した。同氏は、レジャーサイトを通じて公式リンクのみをクリックすること、PolySwarmなどのツールを使用して悪意あるダウンロードをチェックすること、悪意のあるスマートコントラクトとの相互作用を回避することの重要性を強調した。
ハッキングの背後にある正確な理由は、報道時点では明らかにされていないが、TallDallasGirl氏はこの問題をレジャーに取り上げ、解決を期待。同氏は自分のシードフレーズさえ見ていない、ましてや第三者と共有したことはないと主張した。
安全の必要性
2023年8月にも同様の事件が発生し、別のXRP投資家がレジャーのハッキングにより全資産を失ったと主張している。
※動画は全編英語で放映されており、日本語訳が必要な場合は、画面右下に表示されている「字幕」アイコンをクリック。次に、右隣に表示されている「設定」アイコンをクリックし、表示されたメニューの中から、「字幕」⇒「自動翻訳」⇒「日本語」の順に設定することで、大まかな日本語訳が表示されます。
しかし、後の調査により、この投資家はレジャー自体からではなく、サードパーティの小売店からレジャーハードウェアウォレットを購入したことが明らかになっている。レジャーのようなハードウェアウォレットは一般に、仮想通貨資産を保管する最も安全な方法の1つとみなされているが、これらの事件は、セキュリティを最大限に高めるためのベストプラクティスに従うことの重要性を浮き彫りにしている。
このような経緯から、ハードウェアウォレットは必ず元のディーラーから直接購入し、サポートチームと思われる場合でも、シードフレーズを決して共有しないようにすることが肝心である。また、アップデートは公式サイトからのみダウンロードしたうえで、リカバリフレーズをオフラインで安全に保管する事が肝心である。