ハードウェアウォレット「Ledger」のツールに悪意のあるコードが発見。約6800万円の被害が確認

2023年12月14日に、Ledgerのウォレットに接続するためのJavaScriptライブラリである「Ledger Connect Kit上」で不正プログラムの攻撃がありました。
これにより、約6800万円の被害が確認されています。

https://x.com/lookonchain/status/1735309710356877615
本記事で分かること
・Ledgerとは?
・Ledgerのハードウェアウォレットが危ないわけではない
・なぜ今回の被害が起きたのか?
・2023年12月15日時点の状況について
・ユーザーはどうすればいいのか?

Ledger(@Ledger)は、ハードウェアウォレットを提供する会社で、2015年に創業されました。
現在、600万台以上販売されています。
公式サイト:https://www.ledger.com/

メタマスクなどのホットウォレット(ブラウザで動かすウォレット)とは違い、デバイス上で秘密鍵を保管しているのでセキュリティの向上に繋がります。
ハードウェアウォレットについては、以下の記事で詳細に解説しています。
ぜひ、参考にしてください。
関連記事:ハードウェアウォレットとは?選び方やメリット・デメリットを解説

Ledgerのブログ記事の内容を一部抜粋します。(日本語訳で引用)

– 2023年12月14日、Ledgerはウェブサイトをウォレットに接続するためのJavascriptライブラリであるLedger Connect Kit上でエクスプロイトを受けました

– 業界はLedgerと協力し、このエクスプロイトを無効化し、盗まれた資金を迅速に凍結しようと しました。

– このエクスプロイトは現在調査中で、Ledgerは苦情を申し立て、影響を受けた個人が資金を回復できるよう支援する予定 です。

– このエクスプロイトは、LedgerハードウェアやLedger Liveの完全性には影響しませんでしたし、影響もありません。

– このエクスプロイトは、Ledger Connect Kitを使用するサードパーティのDAppsに限定されていました。

https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit

X(旧Twitter)では、「Ledger自体がハッキングされた」との投稿が散見されますが、実際は違います。
上記の引用文を見てください。

このエクスプロイトは、LedgerハードウェアやLedger Liveの完全性には影響しませんでしたし、影響もありません。」

問題があったのは、あくまでツールであり、デバイスなどに問題があったわけではありません。

ハッカーがLedger Connect Kitに、悪意のあるバージョンを公開したことが原因です。(バージョン1.1.5、1.1.6、1.1.7に影響)

Ledgerの元従業員がフィッシングの被害に遭ったことで発覚しました。
Ledgerのテクノロジーチームとセキュリティチームは報告を受け、40分以内に修正プログラムを配布しています。

悪質なファイルは5時間ほど稼働していましたが、資金が流出したのは2時間以内だったとのことです。
LedgerはWalletConnect(@WalletConnect)と連携し、不正プロジェクトを迅速に無効化しました。
現在は、検証済みのLedger Connect Kitバージョン1.1.8を提供しており、安全に使用可能です。(バージョンは、各自で確認する必要があります)

https://x.com/Ledger/status/1735370531224834430?s=20

Ledger はWalletConnect、およびパートナーとともに、不正行為者のウォレットアドレスを報告しています。
このウォレットアドレスは、Chainalysis(@chainalysis)で確認できます。
Tether(@Tether_to)は不正行為者の USDT を凍結済み。

現時点では、資金が影響を受けた可能性のある人を支援するために積極的に取り組んでいるそうです。
確定はしていませんが、資産を補填するのではないかと考えられます。
さらに告訴を提出し、不正行為者を見つけるために法執行機関と協力して捜査中とのことです。

資金が流出した不正行為者のアドレスは以下であると考えられています。
0x658729879fca881d9526480b82ae00efc54b5c2d

https://x.com/Ledger/status/1735326240658100414?s=20

ハッキングを防ぐための対策方法は、署名前に署名内容を確認することです。
最近のハードウェアウォレットでは「Clear Signing」が用意されています。
通常は、ブラインド署名で、署名内容は人間が読めない形になっています。

「Clear Signing」は、署名内容を読めるようにした機能です。
署名内容を確認することで、不正な内容を防止できます。
コントラクトアドレスを確認することも重要です。

Clear Signing は対応しているDappsも限られてくる上、署名内容を読むためにも専門知識が必要です。
一般ユーザーにおいては、 ハッキング防止機能がついているWallet(Rabby Walletなど)に Ledger をつないで利用することも有効。
特にRabby Wallet では、普段つないだことがないコントラクトは警告が出るため、事前にハッキングを防ぐことが可能です。
メタマスクでも、保護セキュリティ機能が実装されています。
以下の記事を参考にしてください。

関連記事:メタマスクでプライバシー保護機能が導入!

対策方法については、NFTエンジニアのはやっち(@HayattiQ)氏の投稿を参考にしました。
あわせてご確認ください。

https://x.com/HayattiQ/status/1735473898484039913

本記事では、「Ledger Connect Kit上」での不正プログラムと対処法について解説しました。

まとめ
・Ledgerとは?
・Ledgerのハードウェアウォレットが危ないわけではない
・なぜ今回の被害が起きたのか?
・2023年12月15日時点の状況について
・ユーザーはどうすればいいのか?

被害が拡大すると、様々な情報が飛び交います。
今回の情報で一番の誤情報は「Ledgerが危ない」でしょう。
こういう時に焦って資金を動かそうとすると、スキャムを踏む可能性が高くなります。
なぜなら、人の焦りにつけこみ、フィッシングサイトへの誘導をする人が出てくるからです。

今回で言えば、Ledgerの公式Xや、公式サイトのブログ記事を見て対処をするのが確実です。

NFT NEWS Japanでは、セキュリティ関連の記事を多く出しています。
ぜひ、参考にしてください。
NFT NEWS Japan:セキュリティ関連記事一覧

画像ソース:Ledger公式サイト

関連記事
メタマスクでプライバシー保護機能が導入!
【初心者向け】NFT売買におけるフィッシング詐欺の防ぎ方
ハードウェアウォレットとは?選び方やメリット・デメリットを解説

秋葉 慶介副編集長

投稿者プロフィール

Web3.0、NFTのリサーチャー・ライターとして活動。
2021年にCryptoの思想に触れて興味関心を抱く。
アメリカのマシューボール(Matthew Ball)氏が2020年に提唱した、メタバースの5つの要素(狭義のメタバース)に感銘を受ける。
メタバースにはNFTが必要であることを確信し、NFTを購入。Web3.0での活動を始める。
「現実世界の拡張」「生き方の1つの手段」としてのメタバースの世界を目指し、NFTを多くの人に届けるために活動を続けている。

この著者の最新の記事

関連記事

コメントは利用できません。

Pickup Event

ピックアップ記事

ページ上部へ戻る