サイバーセキュリティ認証プラットフォームCERの7月レポートによると、45の仮想通貨ウォレットブランドのうち、わずか6つ、つまり13.3%しかセキュリティの脆弱性を見つけるための侵入テストを行っていないと指摘された。その中でも、最新バージョンの製品でテストを行ったのは半分だけだった。
最新バージョンの製品で侵入テストを行った3つのブランドは、MetaMask、ZenGo、Trust Walletだと報告されている。RabbyとBifrostはソフトウェアの古いバージョンで侵入テストを実施し、Ledger Liveは不明なバージョン(レポートでは「N/A」と記載)で行った。他のすべてのブランドは、これらのテストを行ったという証拠を提供していない。
レポートには、各ウォレットのセキュリティの全体的なランキングも提供され、MetaMask、ZenGo、Rabby、Trust Wallet、Coinbase Walletを最も安全なウォレットとして挙げている。
「侵入テスト」とは、コンピュータシステムやソフトウェアのセキュリティの脆弱性を見つける方法。セキュリティ研究者がデバイスやソフトウェアをハックし、意図されていない目的で使用しようとする。大半の場合、侵入テスターには製品の動作に関する情報はほとんど与えられない。このプロセスは、製品がリリースされる前に、実際のハッキングの試みをシミュレートして脆弱性を発見するために使用される。
CERは、45のウォレットブランドのうち39が、ソフトウェアの古いバージョンでさえも、侵入テストを全く実施していないことを発見した。CERは、これらのテストが高価であることが原因ではないかと推測しており、特に企業が頻繁に製品のアップグレードを行っている場合、「平均的なアプリはアップデートが多く、新しいアップデートが行われるたびに、以前に行われた侵入テストが失格になる可能性がある」と述べている。
CERは、最も人気のあるウォレットブランドがセキュリティ監査、侵入テストを含む、より堅固なセキュリティ対策を採用する傾向にあることも発見した。
「基本的に、人気のあるウォレットは、増加するユーザーを保護するために、より強固なセキュリティ対策を採用する傾向がある。ユーザー数が多いということは、より多くの資金を保護し、より多くの可視性を確保し、その結果、より多くの潜在的な脅威に対応するということだ。また、より安全なウォレットは、より安全でないウォレットよりも多くの新規ユーザーを惹きつけるという正のフィードバックループをもたらすこともある。"
CERによるウォレットのランキングは、バグバウンティ、過去のインシデント、復元方法やパスワード要件などのセキュリティ機能などの要素を含む方法論に基づいている。
ほとんどのウォレットブランドは侵入テストを行っていないが、CERはその多くが脆弱性を見つけるためにバグバウンティに依存していると述べている。CERは159のウォレットのうち47を総合的に "安全 "と評価した。この159のウォレットには、同じブランドのものも含まれている。例えば、MetaMask for EdgeブラウザはMetaMask for Androidとは別のウォレットとみなされた。
6月3日のAtomic Walletのハッキングで1億ドル以上が失われたため、ウォレットのセキュリティは2023年の緊急課題となっている。Atomicチームは、この情報漏洩は同社のインフラにおけるウイルスまたはマルウェアの注入によって引き起こされた可能性があると推測しているが、攻撃を可能にした正確な脆弱性はまだ不明だ。ウェブウォレットのMyAlgoも2月下旬にセキュリティ侵害に遭い、900万ドル以上の損失がユーザーに生じたと推定されている。