ウォレットの安全性

暗号分析家Wazzによると、数百のウォレット（その多くは7年以上休眠している）で、同じアドレスによってETHメインネット上の資金が空にされた。Aragonチームのメンバー@TheTakenUserも、自身のウォレットの資金が不明な理由で移動されたことを確認する投稿をしました。現在、この事件の発端はまだ明らかになっておらず、コミュニティの分析では、2017年から2020年の間の古いリカバリーフレーズ、秘密鍵、またはLastPassなどのストレージの漏洩や以前の危険な権限付与が原因であると考えられています。新しいスマートコントラクトの脆弱性ではありません。

慢雾の創業者である余弦はツイートで次のように述べています。「NoFxというオープンソースの自動取引システムを使用している友人たちは注意してください。私たちが開示したリスクが実際の盗難事件として現れました。一部のユーザーのウォレットの秘密鍵やCEX/DEXのAPIキーが漏洩しました。リスクを最小限に抑えるために、私たちは関連するセキュリティチームと連携し、影響を受けたユーザーに可能な限り通知を行った後に、この文を発表して詳細を開示します。」

ChainCatcher のメッセージによると、OneKey の中国語 Twitter によれば、最近の "Milk Sad 事件" に関連する乱数の脆弱性について、OneKey チームはこの脆弱性が OneKey のソフトウェアおよびハードウェアウォレットのニーモニックフレーズと秘密鍵の安全性に影響を与えないことを明らかにしました。脆弱性は、Libbitcoin Explorer (bx) 3.x バージョンがシステム時間と Mersenne Twister-32 アルゴリズムに基づく擬似乱数生成器を使用していることに起因し、シード空間はわずか 2³² ビットであり、攻撃者は予測またはブルートフォースで秘密鍵を導き出すことができます。影響を受ける範囲には、一部の古い Trust Wallet とすべての bx 3.x または古い Trust Wallet Core を使用している製品が含まれます。OneKey は、そのハードウェアウォレットが EAL6+ セキュリティチップに内蔵された TRNG 真の乱数生成器を採用していると述べています；古いデバイスも SP800-22 および FIPS140-2 エントロピー テストを通過しています；ソフトウェアウォレットはシステムレベルの CSPRNG エントロピーソースを使用して乱数を生成し、暗号学的基準に準拠しています。チームは、ユーザーに資産を管理するためにハードウェアウォレットを使用することを推奨し、ソフトウェアウォレットで生成されたニーモニックフレーズをハードウェアウォレットにインポートしないようにすることで、最高の安全性を確保することを強調しています。

ChainCatcher のメッセージによると、Trust Wallet の中国語チャンネルが発表したところによれば、チームはコミュニティの最近の2018年初期ウォレットバージョンの脆弱性に関する議論について明確にしました。この脆弱性は当時業界で一般的に使用されていた第三者のオープンソースの乱数ライブラリに起因しており、2018年7月に修正され、Wallet Core ライブラリにオープンソースとして記録されています。公式によれば、約1万人の初期ユーザーが影響を受け、全員に通知され、資産の移行が完了しており、損失は発生していません。2018年7月以降、新しく作成されたウォレットは影響を受けていません。現在、Trust Wallet は監査済みの暗号ライブラリと高強度の乱数アルゴリズムを採用しており、独立したセキュリティ監査およびバグ報奨プログラムを通じてセキュリティを強化し続けています。チームはまた、「ウォレットセキュリティ認識シリーズ」を発表し、ニーモニックフレーズと乱数のセキュリティ原理についての啓蒙を行い、「透明性と安全性は核心的な約束である」と再確認します。

ChainCatcher のメッセージ、Worldcoin はツイートで、各 World App ユーザーがイーサリアムのスマートコントラクトウォレットを持つことになり、そのウォレットはアカウント抽象を使用してセキュリティを向上させ、基盤には Safe のアカウント抽象スタックが使用されると述べています。さらに、World App は Polygon 上で最大の Safe ウォレットデプロイヤーとなりました。（出典リンク）

ChainCatcher のメッセージによると、安全機関 DilationEffect の研究は、他人の Apple ID を購入することが、他の人がデータを復元することでウォレット内の暗号資産を盗む原因になる可能性があることを示しています。現在、成熟した犯罪グループが存在し、ブロックチェーン上のデータは、盗まれた資金が 1000 万ドルを超えていることを示しています。DilationEffect は、App Store からアプリをダウンロードする際に国や地域の制限があることを指摘しています。例えば、中国本土のアカウントでは一部のアプリをダウンロードできず、多くのユーザーが（淘宝で）他人が提供するアメリカの Apple ID を購入したり、オンラインで共有されたものを使用したりしています。iPhone のバックアップ機能は、携帯電話のアプリデータをクラウドにバックアップするため、攻撃者があなたと同じ Apple ID を使用すると、彼の携帯電話上であなたのウォレットアプリデータを復元することができます。Dilation Effect は、iPhone を使用し、ウォレットアプリをインストールしているユーザーに対し、他人が提供した Apple ID を購入または使用した場合は、直ちに使用を停止し、ウォレット資産をすぐに移動するように警告しています。(出典リンク)

ChainCatcher のメッセージによると、The Block が報じたところでは、前 BitGo、Curv の幹部 Josh Schwartz が新しい暗号ウォレットセキュリティ会社 Fordefi を立ち上げました。Fordefi は、機関がさまざまなチェーンに参加できるウォレットプラットフォームを提供しています。Fordefi は、安全なマルチパーティ計算 (MPC) を使用して、ユーザーの秘密鍵をより妥協しにくい方法で分配し、ユーザーがブロックチェーンやスマートコントラクトとのインタラクションを自動化できるようにします。Fordefi の 25 人のチームは、イスラエルとニューヨークに拠点を置いており、Michael Volfman と Dima Kogan が含まれています。同社は、スタンフォード大学の暗号通貨教授 Dan Boneh と前 Curv CEO の Itay Malinger を顧問として雇っています。（出典リンク）

链捕手メッセージ、TokenPocketウォレットが発表したところによると、最近そのウォレットユーザーから、プラットフォームから送信されたトークンを受け取ったとのフィードバックがありました（この詐欺手法は任意のプラットフォームのラベルを模倣できます）が、実際には購入できるが売却できないといった状況が発生しています。これに対してTokenPocketのセキュリティ部門は、ユーザーからのフィードバックに基づいてオンチェーン情報を分析しました。これは、ブラウザ/ウォレットを利用して送金取引記録を解析し、任意のアドレス間の送金取引記録を偽造する新しいタイプの詐欺です。この取引記録の偽造は詐欺者が発行したトークンに対してのみ行われ、主流のトークン送信記録などの情報は詐欺者が偽造することはできません。TokenPocketはユーザーに警戒を呼びかけています。（出典リンク）