●ＮＥＡＲ　Ｗａｌｌｅｔが過去事例を報告
暗号資産（仮想通貨）ニアプロトコル（ＮＥＡＲ）のエコシステムを支援するＮＥＡＲ財団は４日、ＮＥＡＲ　Ｗａｌｌｅｔで対処済みのセキュリティ上のバグについて報告した。

ＮＥＡＲ　Ｗａｌｌｅｔにおいて、ＥメールやＳＭＳを使ったウォレットの新規作成や復元時に、機密データがサードパーティに流出していたことが明らかになった。

この情報共有は、ソラナ（ＳＯＬ）のＳｌｏｐｅウォレットで最近起きたセキュリティ侵害を受けての動きとなる。今週３日以降、ソラナ関連のウォレットからＳＯＬ等の資産が流出。被害額は推定１０億円（８００万ドル）で約８，０００件のアドレスが影響を受けていた。

原因は定かではないが、ソラナ対応ウォレットの一つ「Ｓｌｏｐｅ」の中央サーバーに「平文（暗号化されていないデータ）」で秘密鍵とニーモニックが送信されていたことが分かっており、ハッカーに突かれたと見られている。また、Ｓｌｏｐｅが使用するアプリケーション監視サービス「Ｓｅｎｔｒｙ」が、秘密鍵情報を収集する媒介になったとの見方もある。

ＮＥＡＲ財団はソラナについて言及していないが、機密情報が中央サーバーに保存されている事がわかり、速やかに対処したと報告。不正流出の被害は出なかったが、ホワイトハッカーに報奨金を支払ったとした。財団は以下のように述べている。

"他のプラットフォームでの最近のウォレットハックは、Ｗｅｂ３で一般的に使用される分析ツールに関して、深刻なセキュリティ上の懸念を浮き彫りにした。これらのハックを踏まえて、我々は同様のツールを含む、最近の経験について共有する。"

ＮＥＡＲ　Ｗａｌｌｅｔチームは２２年６月６日、ホワイトハッカーのＨａｃｘｙｋ氏からバグ報告を受け、機密情報がサードパーティと共有されている事態を把握したと説明。特定のアップグレード後に、メールやＳＭＳを使ったウォレット復元を行ったユーザーの機密情報が収集される状況になったとした。

関連：ソラナの仮想通貨ウォレットが標的に、ハッキングによる大量被害

●被害は出ていない
Ｈａｃｘｙｋ氏もまた、ＮＥＡＲ　Ｗａｌｌｅｔでの事象とソラナＳｌｏｐｅウォレットのハッキング事件との類似性を指摘。Ｎｅａｒ　ｗａｌｌｅｔのユーザーがウォレットの復元方法として「メール」を選択すると、シードフレーズがサードパーティに流出する状態になっていたと加えた。

https://twitter.com/Hacxyk/status/1555050309411426305

当時、ＮＥＡＲ　Ｗａｌｌｅｔチームは即座に問題を修正し、収集された機密データを全て消去。また、収集された機密データにアクセス可能な人物も特定。現在までに、この件に由来するセキュリティ侵害は起きておらず、収集された機密情報も全て削除済みとされている。

執筆時点では、メールやＳＭＳを使った新規ウォレット作成は不可能。ＮＥＡＲ財団は「（現在）侵害されている証拠はない」と強調した上で、過去にメールやＳＭＳを使ったリカバリー機能を使用した経験のある人にＬｅｄｇｅｒウォレットを使用するか、設定画面から同機能をオフに切り替えておくよう推奨している。ＮＥＡＲ財団は以下のようにまとめた。

"ユーザーの選択と行動もセキュリティに影響を与えます。ウォレットを保護するため、Ｌｅｄｇｅｒのようなハードウェアデバイスの使用を検討してください。

ウォレットの作成とアクセスには、信頼と安全性の高いデバイスのみを使用してください。リカバリーフレーズや秘密鍵は絶対に口外しないでください。"

関連：ソラナ財団、ハッキングの原因特定に成功

（イメージ写真提供：１２３ＲＦ）

https://coinpost.jp/?p=374281

CoinPostに掲載された記事を、許可を得て転載しています。

ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
ＸＲＰ詳細ページ
ＩＣＯレーティングについて