ハードウェアウォレットメーカーであるLedgerは、14日のプレスリリースでハッキング被害を公表しました。
被害総額は約50万ドルとされます。
同社は今後、セキュリティの強化を行う見通しです。
Ledger対応のdAppsで、仮想通貨の不正流出が取り沙汰されており、メタマスクも注意を呼びかけています。
今回のハッキングについて、詳細を見ていきましょう。
要点
Ledgerへのハッキングの手口
今回のハッキングでは、JavaScriptのライブラリが狙われました。
これはサイトとウォレットをつなぐものです。
Ledgerは本来ハードウェアウォレットなので、普通に使っていればハッキングのリスクは低いと考えられます。
しかし今回はJavaScriptライブラリが標的なので、オンラインの領域が狙われました。
プレスリリースによると、ハッキングは2時間未満にわたり行われていました。
そして発見から40分以内で、無効化されたそうです。
サードパーティのDAppsが標的になっていたなど、手口の一部がわかっています。
今回のハッキングは、元従業員のフィッシング詐欺被害で発覚しました。
元従業員のIDは、ハッキングの標的であるコード内に残っていたのです。
一方Ledgerのライブプラットフォームや、ハードウェアには影響がないといいます。
今後Ledgerは、セキュリティの強化を行うとしています。
セキュリティにこだわる企業だけに、心配なニュースとなりました。
X(旧Twitter)では、以下の口コミがあります。
被害額は約50万ドルか
ブロックチェーン分析の「Lookonchain」の公式Xによると、14日時点で約50万ドル(約7000万円)の被害が見積もられています。
一文目訳:ハッカーはLedgerを攻撃し、最大48万4000ドル分の資産を盗みました。
今回のハッキングでは、Ledger対応のdAppsが狙われています。
dAppsはアプリの一種なので、仮想通貨の管理目的ならオンラインウォレットの位置づけです。
オンラインだと、ハッカーの攻撃によるリスクがあります。
そのため一度ハッキングを受けると、今回のように大量の資産が流出するのです。
Ledger社は、すでに攻撃者のアドレスを特定し、ステーブルコインのUSDTの凍結を済ませています。
Chainalysisやテザー社といった提携企業とも協力し、事件解決に全力を挙げる状況です。
Ledgerはハードウェアウォレットの一種ですが、Ledger対応の関連アプリはオンラインなので、ハッキングの標的になりました。
問題解決に向けた動きもありますが、一度奪われた資産は取り戻せない可能性があります。
そのため我々も、ハッキングには注意しなければなりません。
メタマスクも注意を呼びかける事態に
今回のハッキングでは、ウォレットのメタマスクも注意を呼びかけました。
公式Xでは15日に、Ledgerによる問題の解決を報告しています。
訳:Ledgerは現在の問題を解決しました。ただしユーザーは現在、Ledgerコネクトキットを通したdAppsへのアクセスについて、24時間待つことが推奨されます。
セキュリティ上の問題がまだ残っているからか、引き続き注意すべきとの見解を示しました。
このようにウォレットへのハッキングは、深刻な事態になります。
仮想通貨関連アプリは、特定ウォレットとネットワークを組むケースもあるので、一度のハッキングで周辺のシステムも影響を受けかねません。
複数のウォレットによる仮想通貨の分散管理や、二段階認証の活用など、ユーザー自身も盗難対策に注力しましょう。
まとめ
ハードウェアウォレットのLedgerが、ハッキング被害にあいました。
今回狙われたのは、Ledger対応の関連アプリです。
ハードウェアへの影響は直接ないと思われますが、オンライン領域での脆弱性が明らかになりました。
本件ではすでに問題解決との報告もありますが、今後もハッキングには要注意です。