インドの仮想通貨取引所ワジールX ハッキング事件の予備調査の結果を公表
7月18日に発生した仮想通貨取引所ワジールXでのハッキングに関する予備調査では、「ワジールXの署名者のマシンが侵害された証拠は見つからなかった」という。
7月25日に公表された報告書 は、マルチパーティ計算(MPC)ウォレットプロバイダーであるリミナルのシステムに侵害があった可能性を示唆している。2億3500万ドルの被害が出たこのハッキング事件について、リミナルは以前、ワジールXのマシンが原因であるとする 報告書を出していた 。
「予備調査の結果、ワジールXの署名者のマシンが侵害された証拠は見つからなかった」と、ワジールXのチームは書いている。同チームは「サイバー攻撃の全貌を明らかにするために徹底的なフォレンジック的分析を行っており、この分析が完了次第、確定的な証拠を共有する」とも述べている。
ワジールXによれば、「3つのワジールX署名と1つのリミナル署名が使用されたことからも、攻撃はリミナルのインフラを通じたトランザクションが関係している」としている。リミナルのMPCウォレットは、ホワイトリストに登録されていないアドレスへの出金を防ぐはずだったが、ワジールXはそれができなかったと主張している。
さらに、悪意のあるトランザクションは「マルチシグウォレットのコントラクトをアップグレードし、攻撃者に権限を移す」ものであり、リミナルのインターフェースはこれを許可しないはずだったとされている。
報告書によれば、インドの中央捜査局(CBI)はリミナルのクライアントであり、捜査中に押収した資産を保管するためにリミナルのサービスを利用している。もしウォレットのコントラクトがリミナルのインターフェースを通じてアップグレードできることを知っていたなら、インドの捜査当局はリミナルを信頼できる保管者として使用しなかったかもしれないと報告書は示唆している。
「リミナルからの説明では、インターフェースからコントラクトのアップグレードを開始することはできないとしている。ここで重要なのは、インドの主要な捜査機関である中央捜査局(CBI)が、捜査中に押収したデジタル資産の保管をリミナルカストディソリューションズに委託していることであり、これもリミナルの説明に基づいている可能性がある」。
報告書は、ハッキングが発生した可能性がある2つの異なる方法を仮定している。第1に、リミナルのインフラが侵害され、ワジールXの従業員が見るときにユーザーインターフェース(UX)が誤った情報が表示された可能性だ。第2に、3つの別々のワジールXデバイスが侵害され、UIのローカルコピーに誤った情報を表示された可能性だ。
しかし、複数の証拠はリミナルのインフラが侵害されたことを示していると報告書は主張している。
第1に、ワジールXのハードウェアウォレットへの新しいアクセスリクエストは送信されていなかった。第2に、リクエストはホワイトリストに登録されたアドレスから来ており、第3に、すべての署名者が「リミナルインターフェースで予想されるトークン名(USDTとGALA)と送信先アドレスを確認し、メール通知を受け取った」という。
ワジールXは、これらの証拠がリミナルの侵害が攻撃の原因であることを強く示していると主張している。それでもなお、「最終的な判断を下す前に確定的なフォレンジック分析の結果を待つ」としている。
報告書はまた、仮想通貨コミュニティにとってのハッキングの広範な影響にも言及している。ハッキングの主な原因の1つは、ハードウェアウォレットからのトークントランザクションを「ブラインド署名」する必要があることだった。トークントランザクションはウォレットのLED画面に送信先アドレスを表示しないため、ユーザーはトークンをどこに送信しているのかを確定的に知ることができない。代わりに、別のデバイスやカストディプロバイダーのインターフェースに依存してこの情報を得る必要がある。
「カストディプロバイダーのインフラが侵害されると、表示されるトランザクション情報が操作される理論的なリスクがある」と報告書は述べている。
リミナルの 7月19日の報告書 では、サーバーインフラが「侵害されておらず、リミナルのインフラ上のすべてのウォレット、ワジールXの他のGnosis SAFEウォレットを含むが安全かつセキュアである」と述べている。同社は、攻撃者がワジールXの3つのデバイスすべてをコントロールしたことが原因である可能性があるとしている。
「ブラインド署名」は、ハードウェアウォレットコミュニティ内で広くセキュリティ問題と見なされている。12月には、ハードウェアウォレットメーカーのレジャーが、ブラインド署名の攻撃で60万ドル以上の資産を盗まれたユーザーに 補償を約束した 。レジャーは2024年6月までにブラインド署名の機能を無効にすることを約束している。
ワジールXの報告書では、従業員が使用したハードウェアウォレットのブランドについては明記されていない。
PR記事「仮想通貨取引所ビットゲット(Bitget) 口座開設キャンペーンと夏の大感謝祭を開催! 抽選で10名様にビットコイン1万円贈呈先着200名に3000円相当ボーナス&取引量達成でロレックスやiPadなどの景品と交換可能【7月最新】」
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
ソラナ財団技術副社長マット・ソーグ、スケーリングとネットワーク混雑の解決策を説明
2024年10月第1週のAIコイン3選
カルダノのホスキンソン氏、SUIの成長と革新的手法を称賛
Coinbase、SEC訴訟での早期控訴を模索、リップル判決に対する機関の控訴後
コインベースは、SECとの訴訟において、判決が下される前に認められる控訴である中間控訴を承認するよう裁判官に求めました。これは、SECがリップルに対する別の訴訟での判決に控訴した後のことです。コインベースは、SECのリップル訴訟での控訴と同時期に自社の控訴を提示することで、第2巡回区が「できる限り完全な状況」を把握できるようにすることを目指しています。
暗号資産価格
もっと見る
