アルトコインのイーサリアムノバ(ETN)とイーサリアムクラシックヴィジョン(ETCV)が、ユーザーの秘密鍵を取得しようとしているとの疑惑が浮上した。この疑惑は、仮想通貨ウォレットのグアルダウォレットの開発チームが1月11日までにコインテレグラフに送ったレポートで取り上げられた。
イーサリアムノバ プロジェクトの公式ウェブサイト(ホワイトペーパーは掲載されていない)には、ユーザーがETNを取得することになるはずのプロセスが説明されている。このウェブサイトによれば、ユーザーは最初にあるアドレスにETHを送り、それから専用オンラインツールを使って秘密鍵をエクスポートし、この仮想通貨を換金しなければならない。
イーサリアムのブロックエクスプローラー「イーサスキャン」で、あるユーザーは前述のアドレスに関してコメントし、「このサイトでは何も送ってはいけない」と警告した後で、このアドレスが「詐欺的な(ハード)フォーク/エアドロップ」に関与していると主張する。当該コインを請求するためのこのツールは、有名なオンライン イーサリアム(ETH)ウォレット「マイイーサウォレット(MEW)」を模造したものと思われ、ロゴやウェブサイトのタイトル、ページは本物と同じだが、ドメイン名が異なっている。
本物のMEWのインターフェースと比較して一番大きな違いは、ユーザーにアクセス方法を選ばせる選択肢がグレーアウトされており、ユーザーが自分の秘密鍵をペーストする方法しか選べないことだ。また、ブラウザーによってはこのツールを「偽サイト」として警告するものもある。
コードを解析したグアルダウォレットのチームの分析によれば、秘密鍵はこのツールによって処理されるだけでなく、リモートサーバーに送られるという。グアルダのチームは、イーサリアムノバが「ユーザーの個人情報を取得し、ユーザーのウォレットへアクセスするための窃盗の手段」であると指摘する。
イーサリアムクラシックヴィジョンのハードフォークは、同プロジェクトのホワイトペーパーによれば1月11日20時(グリニッジ標準時)に行われるという。ウェブサイトにはウェブツールと並んで、ダウンロード可能なウィンドウズ版およびリナックス版ウォレットへのリンクが掲載されている。「フォークを請求」ボタンの側には、次のような説明書きがある。
「ETHの保有にどの公認ウォレットを使っていても、当初の段階では無料のETCVはイーサリアムクラシックヴィジョンの公式ウォレットへ送られます。現在、人気のある多くのウォレットと交渉中ですが、今回のフォークの時点では使われているアルゴリズムの若干の違いにより、それらのウォレットへはETCVを送信できません」
詳しい調査の結果、このプロジェクトはETNよりも信頼できるように見えるものの、ETCVのチームもまた、ユーザーの秘密鍵を盗み出していることが分かったとグアルダウォレットのチームは指摘する。
「当社チームの実施したコードの解析で、当該コードがユーザーの秘密鍵データをAPIトークンとしてマスキングし、イーサリアムクラシックヴィジョンのサーバーへ実際に送っていることが示された」