米国立標準技術研究所(NIST)は、過去にバイナンス傘下にあったトラスト・ウォレットアプリの旧バージョンに、ハッカーが仮想通貨ウォレットから資金を盗む可能性がある脆弱性があると発表した。

NISTによると、2018年3月から2018年7月の間に作成されたiOS版のトラスト・ウォレットアプリは、トレザー社の暗号ライブラリを誤用しており、エントロピーソースでのみ検証可能な、ニーモニックフレーズが生成されてしまうという。

エントロピーソースとは、データが生成される物理的な場所のことだ。 NISTは、2023年7月に同様の脆弱性が悪用され、経済的損失が発生したことを指摘している。NISTは次のように説明した。

「攻撃者は、適用可能な時間枠内の各タイムスタンプに対して復元フレーズを体系的に生成し、特定のウォレットアドレスにリンクすることで、そこから資金を盗むことができる。」

この情報は2月8日に公開されたが、脆弱性の実世界での影響範囲を判断するため、現在分析が待たれている。コインテレグラフの取材に対し、トラストウォレットの広報担当者は、トレザーライブラリの使用は2018年に特定され、2018年3月から2018年7月の間に作成されたiOSウォレットで存在し、2018年7月に修正されたことを強調した。当時、トラストウォレットはオープンソースプロジェクトであり、この問題は10,000ダウンロードに影響を及ぼした。すべてのコードコミットと修正は常に公開されており、透明性が保たれているとした。

Trust Wallet app for iOS under investigation for vulnerability. Source: NIST

米国土安全保障省のCVE(脆弱性番号)によれば、2023年7月にETHウォレットが多数ハッキングされた後、セクビットラボ(Secbit Labs)がトラストウォレットアプリの調査を開始した。調査の結果、2018年版のiOS版トラストウォレットアプリに脆弱性があることが判明し、2023年7月12日に発生した大規模な盗難事件との関連性が指摘されている。

コインテレグラフの取材に対しバイナンスの広報担当者は、トラストウォレットは現在、バイナンスグループに属さず、Binance.comから独立して運営されている別の法人であることを説明した。

Milk Sad氏による調査では、少なくとも6,572個のウォレットの復元フレーズが漏洩し、資金が盗まれるリスクがあることが判明した。また、トラストウォレットアプリがトレザー社の暗号ライブラリの安全ではない関数を使用して、新しい仮想通貨ウォレットを生成するオープンソースのコードを使用していることも確認された。

NISTは、調査を完了次第、脆弱性の重大度に基づいてアプリに0~10のスコアを割り当てる。なお、今回の脆弱性はトラストウォレットアプリ固有の問題ではなく、トレザー社の暗号ライブラリの問題であるため、他のウォレットアプリも影響を受けている可能性がある。