今週、また仮想通貨島でハッキング事件が起きた。取引所に流動性を供給するマーケットメーカー大手ウィンターミュートが、DeFiの運用でハッキングされて約1億6000万ドル失った。

ツイッターでLedgerのCTOであるチャールズ・ギルメットは、以下のように警告を出していた。

「ハッキング攻撃はまだ終わっていないだろう。攻撃者は可能な限り全てのシードを生成し、アドレスを突き止め、オンチェーン上でそれらのアドレスに資金が残っているかチェックできる。今後数日のうちに、より多くの資金が盗まれるかもしれない」

相次ぐハッキング

残念ながら、上記のような事例は例外ではない。1ヵ月前、数千のソラナのウォレットが身元不明の攻撃者によってハッキングされた。ソラナの広報担当者は「ハッキングはソラナの主要なコードに対して行われたものではなく、複数の外部ウォレット業者が作ったソフトウェアに対して行われた」と説明した。
 
2022年で仮想通貨のハッキングの被害額で記録的な年になってしまっている。8月、不正なブロックチェーン取引を追跡するChainalysisは、DeFiプロトコルが標的になりやすくなっており、ハッキング件数が急増したと報告した。8月時点で、年初来で19億ドル相当の仮想通貨が盗まれたという。昨年の同時期との比較で、残念ながら58%の増加だった。

「今後すぐにハッキング増加のトレンドが変わる兆候は見られていない」とChainalysisのレポートは結論づけた。

洗練された技術でスマホがハックされる。
 
ハッキングは1週間に1回のペースで起きている。そんな中、あなたは自身のデジタル資産が安全かどうか心配にならないだろうか?PCやスマホを通してWeb3の資産を管理している限り、あなたはハッキングの標的になることを忘れてはいけない。これらのデバイスは、Web2用に作られたものであり、Web3用ではないのだ。

信じられないだろうか?

「ペガサススキャンダル」というマルウェア(スパイウェア)「ペガサス」を使って実行された複数の政治リーダーや市民に対するスマホハッキング事件は、スマホが我々のデータを保護するのに適していないことを示す良い例だ。「zero-day」や「zero-click」という特徴を使った犯行であり、前者は標的となったソフトウェアの製造業社でさえ把握していない脆弱性をついた攻撃で、後者は標的となった人が何もクリックしなくても実現できるタイプの攻撃だ。

ペガサスによる攻撃で、攻撃者は、カメラや位置、画像、チャット記録、そしてもちろん仮想通貨まで完全にアクセスできるようになった。

「zero-day」や「zero-click」攻撃は、ペガサスだけに限られた攻撃ではない。もしソフトウェアウォレットが安全と思っているのなら、考え直し方が良いだろう。スマホやPCを使った仮想通貨へのアクセスは、本質的にリスクを伴った行為であると認識した方が良いだろう。

仮想通貨の普及を進める上で、これまで以上に世界レベルでセキュリティのスタンダードを向上させる必要があるだろう。 
 

 

著者 Ledger

プロフィール:2014年に誕生した仮想通貨のハードウェアウォレットの会社。拠点はフランスにあり、現在はLedger Nano XとLedger Nano S+、Ledger Nano Sという3種類のハードウェアウォレットを製造・販売している。Ledger Nano S +は2022年4月4日発売の最新作。Ledger Nanoシリーズに接続して使うソフトウェアであるLedger Liveを、全ての仮想通貨サービスが1箇所に集まるプラットフォーム、いわば「Web3.0のハブ」にすることを目指している。公式サイト:https://www.ledger.com/ja