「決定的な証拠はない」
暗号資産(仮想通貨)ソラナ(SOL)基盤のウォレット「Slope」は11日、先週に発生したソラナ関連ウォレットからのユーザー資産の流出問題についての声明を発表。
セキュリティ上の欠陥があったことを認めた上で、ハッキング被害の直接要因と結びつける「決定的な証拠」はないとする見解を公表した。
ソラナからの資産流出は3日に起こり、被害額は推定5.3億円(400万ドル)に及んだ。「Slope」や「TrustWallet」など複数のホットウォレットプロバイダー上に存在する、約9,000のアドレスが影響を受けた形だ。
現時点では、流出に至った原因は特定されていないが、被害に遭ったウォレットアドレスは、いずれもソラナ対応ウォレットの一つ「Slope」で作成されたり、Slopeにインポートして使用されていたものと報告されており、ソラナ側の研究者は、同ウォレットの脆弱性(シードフレーズが平文で保存されていた)を指摘していた。
ホットウォレットは通常、デバイスに高度な暗号化方式で秘密鍵を保護する。しかし、インターネットに接続されているため、コードのバグやセキュリティの脆弱性が見つかると攻撃の対象となる傾向がある。
関連:ソラナ関連のウォレット不正流出、Phantomのシステムに異常見つからず
脆弱性が直接の原因ではないと強調
「Slope」は、独立した監査機関に今回の問題についての調査を依頼した、と説明。脆弱性があったことを認めたものの、ハッキングの直接的な原因にはなっていないとする姿勢を強調した。
攻撃で流出したウォレットアドレスの数は1,444件で、漏洩したアドレス総数を下回っており、シードフレーズ情報の保存についても、平文で保存されていたサーバーへのアクセスは、エンドツーエンドの暗号化によって保護されていたと説明。アクセスを許可するための3要素認証プロトコル(3FA)も設定されていたと付け加えた。
また監査の結果、追加の脆弱性は見つかっておらず、現在は、ウォレットプロバイダーは、最新のパッチが適用されたバージョンのSlopeウォレットは安全に使用できるとしている。
関連:ソラナ関連の不正流出事件、Slopeウォレットが犯人に返金要請
「Slope」の運営チームは6日、ハッキング犯人に対し和解を持ち掛けた。盗まれた資産のうち10%を報奨金として提供する代わりに、残りの資産を返却するよう要請。48時間以内に資金が返還されれば、ブロックチェーンセキュリティ企業TRM Labsや法執行機関との捜査を打ち切るとの条件を提示していたが、犯人は要求に応じなかった模様だ。
なお、「Slope」と同様に今回のハッキング被害を受けたウォレットプロバイダー「Phantom」は、10日に調査報告を公表。
Halborn SecurityとOtterSecによる単独監査を受けた、2日以降に不正侵入を説明できるような脆弱性は発見されなかったと説明している。