ScaleBit：Uniswap Wallet のすべての資産を移動できる 0 day 脆弱性を発見

ChainCatcher のメッセージによると、BitsLab 旗下の ScaleBit セキュリティチームは、2024 年 10 月に Uniswap iOS ウォレットで「助記詞未承認アクセス」と名付けられた脆弱性を発見しました。この脆弱性により、デバイスの物理的アクセス権を持つ攻撃者がウォレットの認証メカニズムを回避し、デバイスに保存されている助記詞に直接アクセスできるようになります。

この脆弱性の根本的な原因は、助記詞の保存とアクセスメカニズムの設計に欠陥があることです。助記詞は有効なアプリケーション層の暗号化を受けておらず、復元ページのトリガー条件が不合理であるため、攻撃者はデバイスの物理的アクセス権を持っている場合、ウォレットの認証メカニズムを簡単に回避し、ウォレット内の助記詞を直接取得できるのです。

現在、この脆弱性は Uniswap Wallet の最新バージョン (Version 1.42) にも存在しており、このウォレットを使用しているすべてのユーザーに潜在的なリスクをもたらしています。したがって、ユーザーは使用中にデバイスの物理的安全に特に注意し、解除パスワードの漏洩を避けたり、他人にデバイスを貸したりしないようにする必要があります。