米国の仮想通貨取引所クラーケンの研究所は先月31日、仮想通貨ハードウォレットのトレザー(Trezor)にセキュリティー上の深刻な欠陥があると発表した

クラーケン・セキュリティ・ラボは、ブログの中でトレザーの欠陥を指摘。ハッカーは、トレザー・ワンとトレザー・モデルTに物理的にアクセスする(実際にウォレットに触って操作する)ことで、15分以内にウォレットアクセスに必要な秘密鍵を入手できるようになると分析した。

クラーケンによると、トレザーはプロダクトをデザインする段階から上記の脆弱性について気付いていたという。クラーケンは昨年10月時点で今回の欠陥に関してトレザーに報告した。

ただ、トレザーが使う特殊なハードウェアが脆弱性の原因とみられており、直すためには完全にウォレットのデザインを変更して全てのモデルをリコールしなければならなくなる。

クラーケンのCSO(最高セキュリティ責任者)であるニック・パーコーコ氏によると、トレザーで使われるマイクロコントローラーが脆弱性の本質的な要因となっている。ザ・ブロックに対して以下のように説明した。

「ハードウェア内にある欠陥であり、正式なアップデートをして全ての顧客のものを修復できるというものではない。問題解決のために彼らは新たなウォレットを出すしかない」

クラーケンは、トレザーのウォレットを誰にも触らせないように促した。

トレザーも反応

クラーケンのレポートに対してトレザーも反応。欠陥による影響を最小限に抑えるために対策をうったと述べた。また、今回の脆弱性を使ってウォレットにアクセスするためには実際にウォレットを開けなければならないことや特別なハードウェアが必要になると釈明。実際、「物理的なアクセス」の脅威は6~9%にとどまっているという。

「もし物理的なアクセスが脅威であるならば、我々は「パスフレーズ」を使うことを勧める。しかし、物理的なアクセスはあまり見られないケースだ」

コインテレグラフはさらなる詳細情報を求めてクラーケンに問い合わせている。

ライバル企業レジャーも指摘

昨年3月、仮想通貨ハードウェアウォレットのレジャーが、ライバル企業トレザー製品に関する調査結果として、脆弱性5件を公開。その1つとして、「物理的にアクセスできる攻撃者は、フラッシュメモリーからすべてのデータを抽出し、保存されている仮想通貨を盗み出せる」と指摘していた。

【関連記事:レジャー ライバル社ハードウォレットの脆弱性を公開 仮想通貨が盗まれる危険性に警鐘

翻訳・編集 コインテレグラフジャパン