ソラナ関連ウォレットで不正流出
ソラナ(SOL)エコシステムで発生した不正流出事件について、原因が明らかになってきた。ウォレットプロバイダーである「Slope」の秘密鍵の管理方法に問題があった模様だ。
今週3日、PhantomやSlope等のソラナ関連のウォレットから、暗号資産(仮想通貨)SOL及び「SPL規格で発行されたトークン」が流出。被害を受けたアドレスは執筆時点に約8,000件に上り、推定10億円(800万ドル)程の資産が攻撃者が管理する4つのアドレスに送られた。
ソラナ財団によれば、被害に遭ったウォレットアドレスは、いずれもモバイルウォレットアプリ「Slope」で作成されたり、Slopeにインポートして使用されていたものだった。
There is no evidence the Solana protocol or its cryptography was compromised.
— Solana Status (@SolanaStatus) August 3, 2022
3/3
Slopeのようなホットウォレットはインターネットに接続されたデバイスに秘密鍵をデジタル形式で保存する。通常は高度な暗号化方式で秘密鍵を保護するが、コードのバグやセキュリティの脆弱性が見つかると即座に攻撃の対象になりやすい。
ホットウォレットとは
仮想通貨を保管するための財布の役割を果たす「ウォレット」の内でも、インターネットに接続されたウォレットを指す。取引所アプリのウォレットはその一例。インターネットに接続しているため、すぐに取引や送金ができる利便性を誇る一方、不正アクセス被害など、セキュリティ面でのリスクが高い。
▶️仮想通貨用語集
また、DeFi(分散型金融)開発者foobar氏の見立てによると、Slopeの中央サーバーに「平文(暗号化されていないデータ)」で秘密鍵とニーモニックが送信されており、大規模な情報漏洩を招いた疑いがある。
Solana hack – looks like the Slope wallet sent plaintext seed phrases to external integration partners.
— foobar (@0xfoobar) August 3, 2022
Compromised Phantom wallets came from seed phrase imports used in Slope. Compromised ETH wallets were also from seed phrase reuse.
Not a blockchain or randomness issue.
ブロックチェーン監視企業Zellicも、Slopeが使用するアプリケーション監視サービス「Sentry」がこれらの秘密鍵情報を保存していたものをハッカーが発見し、悪用した可能性を指摘した。
4/ The Slope Wallet for iOS and Android uses Sentry for event logging.
— Zellic (@Zellic_io) August 3, 2022
Any interaction in the app would trigger an event log.
Unfortunately, Slope didn't configure Sentry to scrub sensitive info. Thus, mnemonics were leaked to Sentry
s/o to @sniko_ for this screenshot: pic.twitter.com/Rs7pEvVGsJ
Slope側の対応
なお、Slopeウォレットは3日に声明を出し、「一部のウォレットが侵害された」ことを認めている。ユーザーに対して、新しい秘密鍵を持つウォレットを作成して、資産を移すよう推奨した。
一方で、どのような経緯で秘密鍵が漏洩したかについては「まだ確定ではない」と主張しており、専門家チームと問題の特定と改善に向けて務めると加えた。
別のウォレットプロバイダー「Phantom」のユーザーも被害に遭っているが、Slopeウォレットにアカウントをインポートしたアドレスに限られている。Phantomの公式ツイッターはSlopeの声明を受けて、新しいウォレットはSlope以外で作成するようユーザーに呼びかけた。
関連:ソラナの仮想通貨ウォレットが標的に、ハッキングによる大量被害
