仮想通貨モネロ(XMR)のウォレットアプリで、偽の入金が可能になる不具合が注目を集めている。仮想通貨リョー・カレンシー(Ryo Currency、RYO)の公式アカウントが3月3日に投稿したブログ記事で明らかになった。RYOは、XMRから分岐した仮想通貨で、XMRにほかにも脆弱性があることを示唆している。

ブログ記事によると、XMRは、広報用メーリングリスト(Monero-announce)において、モネロ脆弱性対応チームが脆弱性に関する開示を受けた旨を取引所などに警告したという。XMRのツイッター公式アカウントも、3月3日に同じ回避策をツイートした。

この脆弱性は、コインベーストランザクション(マイナーによって生成される、ブロック内の最初のトランザクション)における出力の誤処理によって発生する。

この扱いを誤ると、攻撃者は、取引所などに対して任意の量のXMRの預け入れを偽造できる可能性がある

電子メールには、対処方法にあたるウォレットのパラメータも含まれており、これが事実上脆弱性の悪用を防ぐ回避策となっている。

約10時間後、XMRアカウントは、この脆弱性に対する修正用ソースコードを記述済みで、レビューを待っている状態だとツイートした。

パッチ(修正用コード)専用のギットハブ(Github)ページを確認すると、コードはすでにXMR本体(main branch)に統合されている模様だ。これは修正を終えて、あとは新バージョンを公開するだけでいいことを意味している。

RYOは、XMRから派生した仮想通貨で、RYO開発チームは7ヵ月前にこの脆弱性を修正していたことをブログ投稿で明かしている。またXMRに連絡しなかった点について、XMRによる「セキュリティ研究者に対する有害な行動の歴史」を挙げ、脆弱性情報を共有しなかったことを正当化している。

さらにブログ記事では、RYOパブリックチャンネルで今回の脆弱性の悪用について議論している際に、誤って別の脆弱性についても公開してしまったと述べ、次のように結んでいる。

XMRは、そのパッチ(修正用ソースコード)も適用したいかもしれない

ハードウェアウォレット「Ledger」開発チームは、米SNSのレディットにおいて、3月4日に警告を投稿した。1680XMR(約895万円)を失うユーザーが現れたことでもう1つのバグが明らかになり、「Ledger Nano S」用XMRアプリを使わないよう呼びかけている

翻訳・編集 コインテレグラフ日本版
原文 Monero: Wallet Bug Potentially Enables Exchange Hacks, Team Prepares Patch Release