広く使用されている15以上の仮想通貨ウォレットとプロジェクトで、数百万の仮想通貨ウォレットが資金を抜き取られる可能性を持つ深刻な脆弱性を抱えていると、デジタル資産インフラ企業のファイアブロックスが指摘した。
8月9日の発表で、ファイアブロックスは、「BitForge」と名付けられた一連の脆弱性が、複数のパーティが仮想通貨の保有を制御・管理できるマルチパーティ計算(MPC)技術を使用するウォレットに影響を及ぼしていると述べた。
特定された問題は「ゼロデイ」脆弱性として公表された。これは、プロジェクトによって以前に特定されていなかった欠陥を意味する。
「対策が取られなければ、攻撃者や悪意のある内部者が、ユーザーやベンダーに知られることなく、数百万の個人投資家および機関投資家のウォレットから資金を瞬時に抜き取ることができるだろう」と同社は警告した。
ファイアブロックスは、BitForgeの脆弱性がコインベース、ゼンゴー、バイナンスなどの大手ウォレット提供者に影響を及ぼしていると明らかにした。ファイアブロックスからの指摘を受け、これら3社は特定された問題を解決しているという。
コインベースの最高情報セキュリティ責任者ジェフ・ラングルホーファー氏は声明で、ファイアブロックスが問題を特定し、適切に開示したことに感謝し、コインベースの顧客と資金は一度も危険にさらされていなかったと付け加えた。ゼンゴーの最高技術責任者タル・ベエリ氏は、問題は迅速に修正され、ユーザーの資金は影響を受けなかったと述べた。
ファイアブロックスは、同様のセキュリティ問題で影響を受ける可能性がある他の企業を特定し、それらに連絡を取る作業を行ったという。
MPCウォレットはユーザーの秘密鍵を暗号化し、ウォレットの所有者、ウォレット提供者、他の第三者など、複数のパーティ間で共有する。理論的には、これらのエンティティのどれか一つが他のすべてと連絡を取らずにウォレットを解除することはできないはずだ。しかし、ファイアブロックスのBitForgeの脆弱性に関する技術報告によれば、攻撃者は「1つのデバイスにだけを侵入することで、完全な秘密鍵を抽出することができた」可能性があるという。
ファイアブロックスの最高技術責任者兼共同創設者のパヴェル・ベレンゴルツ氏は、「MPCがデジタル資産業界で広く使われていることは喜ばしいことであるが、我々の調査結果とその後の開示プロセスから明らかなように、すべてのMPC開発者とチームが同等に作られているわけではない」と語った。「Web3技術を活用する企業は、脆弱性を先回りして対処するためのノウハウとリソースを持つセキュリティ専門家と密接に協力すべきだ」と彼は付け加えた。
翻訳・編集 コインテレグラフジャパン