コールドウォレットから不正流出
暗号資産(仮想通貨)ビットコイン(BTC)の主要(コア)開設者は、12月31日にハッキングにより個人で所有する217 BTC(4億7,000万円)を失ったことを告白した。
PSA: My PGP key is compromised, and at least many of my bitcoins stolen. I have no idea how. Help please. #Bitcoin
— @LukeDashjr@BitcoinHackers.org on Mastodon (@LukeDashjr) January 1, 2023
2011年以来BTCネットワークに貢献してきたLuke Dashjr氏は、コールドウォレットで所有していたビットコインが12月31日の4回のトランザクションで不正流出したと述べている。
本来、コールドウォレットは「秘密鍵」をインターネットから隔離された状態で保管するもので、ネットを介したハッキング攻撃被害を物理的に遮断できるメリットがある。
今回のケースではDashjr氏は、何らかの影響で外部からアクセスできる環境に秘密鍵が残された可能性を指摘。PGP鍵の侵害をきっかけに、彼のPC全体が掌握された可能性があると推測している。正確な原因究明はこれからだ。
PGP(Pretty Good Privacy)とは
インターネット上でEメールを暗号化および復号化したり、デジタル署名と暗号化された保存ファイル(ソフトウェアDLなど)でメッセージを認証する際に使用されるプログラムの一種。
▶️仮想通貨用語集
Dashjr氏は22年11月17日に、自身のサーバが “新しいマルウェア/システム上のバックドア “に侵害され、調査しているとツイートした経緯がある。12月25日に再び不正アクセスを検出したとして米ホスティング会社ColoCrossingやサーバープロバイダーの調査不備を主張。プロバイダーを切り替えると述べていた。
PSA: Sigh. Someone did this again tonight, about 2 hours ago. #Bitcoin
— @LukeDashjr@BitcoinHackers.org on Mastodon (@LukeDashjr) December 25, 2022
Calling out @ColoCrossing for (AFAIK) dropping the ball on abuse investigation last time.
Also going to call out my server provider for dropping the ball on an internal audit, but I need a replacement first. https://t.co/K2zBaxkzYm
Yearn Financeの開発者Banteg氏は、「サプライチェーン攻撃」を指摘。この攻撃は、IT機器やソフトウェアの製造過程でマルウェアに感染させたり、バックドアを仕込んだりしておく方法。アップデートプログラムやパッチに埋め込むケースがある。
本件では、ハッカーは侵害されたPGP鍵を介してDashjrのサーバーにアクセスし、秘密鍵を抽出した可能性がある。DashjrのPC操作をリアルタイムで監視していた可能性があり、取引所の2FA(2要素認証)設定プロセスも監視されていた模様。同氏は、米仮想通貨取引所CoinbaseとKrakenから不正なログイン試行のメールを受け取って、一連の盗難被害に気が付いたことを認めている。
彼はまた、自身のPGP鍵で署名されたビットコインノード+ウォレットプログラム「Bitcoin Knots」の使用を控えるよう、ユーザーに強く警告した。
That's how you might verify that your Bitcoin Knots or Core download isn't infested with malware.
— @LukeDashjr@BitcoinHackers.org on Mastodon (@LukeDashjr) January 2, 2023
So to be clear: DO NOT DOWNLOAD BITCOIN KNOTS AND TRUST IT UNTIL THIS IS RESOLVED.
If you already did in the last few months, consider shutting that system down for now.
セルフカストディのリスク
盗まれた216.93BTCを所有するウォレットアドレスは判明しており、今後追跡されることとなる。大手取引所バイナンスのチャンポン・ジャオ(CZ)CEOは、同社セキュリティチームが監視し、必要な際に口座凍結など対処していく方針を表明した。
Sad to see even an OG #Bitcoin Core Developer lost 200+ BTC ($3.5 million). Self custody have a different set of risks.
— CZ 🔶 Binance (@cz_binance) January 1, 2023
We will try to monitor and see where we can help. 🙏 https://t.co/9eGZ7AFgC2
顧客資金を流用していた疑惑が高まる元大手取引所FTXの破綻を受け、Ledger社やTrezor社が製造するハードウェアウォレットの週間売上高が大幅に急増するなど、自身で資産を保管するセルフカストディソリューションへの需要が高まっていた。
関連:自己管理型のハードウェアウォレット、週間売上高が過去最高に
しかし、CZはセルフカストディソリューションにも固有のリスクがあると指摘。偽のソフトウェアアップデートを介したマルウェア侵入のほか、バックアップキーの紛失、操作ミスなどが考えられる。
関連:仮想通貨ウォレット「Ledger」になりすまし被害 資産は流出せず
