メタマスクらが注意喚起　Ledger対応の広範なdAppsで仮想通貨が不正流出か

6,860万円超が盗難か

暗号資産（仮想通貨）ウォレット企業のLedger社は14日、同社の一部のサービスが不正利用されたことを発表した。

これによって、Ledger社のウォレットに対応する広範な分散型アプリ（dApps）で資産が抜き取られる被害が起きている可能性がある。ブロックチェーンを分析する「Lookonchain」は14日の23時44分時点で、48万ドル（6,860万円）超の仮想通貨が盗難されたと報告した。

A message from our CEO @_pgauthier regarding the Ledger Connect Kit exploit: https://t.co/mqlTQOUwD5 https://t.co/Ee4ZhN8rYK

— Ledger (@Ledger) December 14, 2023

Ledger社は問題を認識した後、即座に対応して攻撃者が使用した悪意のあるファイルはすでに停止させたと説明している。そして、被害のあったユーザーに連絡をとって資産を取り戻せるようにサポートを行い、法執行機関とも協力しているとした。

また、Chainalysisやテザー社などのパートナー企業と連携しているとも述べている。すでに攻撃者のアドレスを突き止め、ステーブルコイン「USDT」の凍結を行ったとも説明した。

問題発生後、同社は即座にフィッシング攻撃や詐欺に注意するよう呼びかけている。そして、24語のシークレットフレーズを誰とも共有しないように注意喚起した。

また、Ledger社の機器やLedger Liveのアプリには問題はないことも伝えている。

アプリの対応事例

今回はLedger社という著名なウォレット企業が攻撃されたため、影響は広範に及んでいるようだ。

DEX（分散型取引所）のSushiSwapも14日、今回の問題でユーザーに注意喚起を行い、SushiSwapのページを開いた後、予期しないウォレット接続のポップアップが出ても接続しないように伝えた。

なお、その後にSushiSwapは悪意のあるLedgerのコネクターを削除したと説明。ウェブサイトがオンラインに戻ったことをすでに報告している。

一方、大手UniswapはLedgerコネクターを導入していないため、影響は受けていないという。

Uniswap Labs devs live and breathe user security

In september, we received a community PR to support ledger connect, and @jordanfrankfurt decided not to approve it because of the package distribution model https://t.co/51ktzF29M2

— hayden.eth 🦄 (@haydenzadams) December 14, 2023

また、ウォレットのメタマスクもXでユーザーに注意を呼びかけた。15日4時18分にはLedger社が問題を解決したと報告。一方で、Ledger社の対象の機能を利用するdAppsの利用は24時間待つことが推奨されているとも述べた。

各アプリの対応には差があるため、まだ注意が必要であるとの声も上がっている。明確にアップデートが行われるまでアプリを使用しない方が良いとの指摘も上がった。

問題の経緯

Ledger社は今回の問題の発生後、15日にPascal Gauthier CEOの説明を公開。Gauthier氏は、ユーザーが同社の機器とdAppsを接続するためのボタンを実装する「Ledger Connect Kit」というライブラリが原因だと述べた。

今回の攻撃者はまず、Ledger社の元従業員の1人にフィッシング攻撃を仕掛け、同社に悪意のあるファイルをアップロードすることに成功。資産が攻撃者のウォレットに送金されるようなコードを含めたLedger Connect Kitを公開した。

Ledger社は、影響を受けたLedger Connect Kitのバージョンは「1.1.5」「1.1.6」「1.1.7」だと説明。そして、悪意のあるファイルが稼働していた時間は約5時間だったとした。

現在はLedger Connect Kitの問題を解決したバージョン「1.1.8」をリリースしている。

関連：Ledger、オープンソース化計画を前倒し　信頼性回復を図る