ハードウェアウォレット「Ledger」のツールに悪意のあるコードが発見。約6800万円の被害が確認
- 2023/12/15 20:02
- Crypto, セキュリティ
- Ledger, ハッキング, ハードウェアウォレット
- ハードウェアウォレット「Ledger」のツールに悪意のあるコードが発見。約6800万円の被害が確認 はコメントを受け付けていません
2023年12月14日に、Ledgerのウォレットに接続するためのJavaScriptライブラリである「Ledger Connect Kit上」で不正プログラムの攻撃がありました。
これにより、約6800万円の被害が確認されています。
- 本記事で分かること
- ・Ledgerとは?
・Ledgerのハードウェアウォレットが危ないわけではない
・なぜ今回の被害が起きたのか?
・2023年12月15日時点の状況について
・ユーザーはどうすればいいのか?
Ledgerとは?
Ledger(@Ledger)は、ハードウェアウォレットを提供する会社で、2015年に創業されました。
現在、600万台以上販売されています。
公式サイト:https://www.ledger.com/
メタマスクなどのホットウォレット(ブラウザで動かすウォレット)とは違い、デバイス上で秘密鍵を保管しているのでセキュリティの向上に繋がります。
ハードウェアウォレットについては、以下の記事で詳細に解説しています。
ぜひ、参考にしてください。
関連記事:ハードウェアウォレットとは?選び方やメリット・デメリットを解説
Ledgerの「ツール」に悪意のあるコードが発見
Ledgerのブログ記事の内容を一部抜粋します。(日本語訳で引用)
– 2023年12月14日、Ledgerはウェブサイトをウォレットに接続するためのJavascriptライブラリであるLedger Connect Kit上でエクスプロイトを受けました。
– 業界はLedgerと協力し、このエクスプロイトを無効化し、盗まれた資金を迅速に凍結しようと しました。
– このエクスプロイトは現在調査中で、Ledgerは苦情を申し立て、影響を受けた個人が資金を回復できるよう支援する予定 です。
– このエクスプロイトは、LedgerハードウェアやLedger Liveの完全性には影響しませんでしたし、影響もありません。
https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
– このエクスプロイトは、Ledger Connect Kitを使用するサードパーティのDAppsに限定されていました。
X(旧Twitter)では、「Ledger自体がハッキングされた」との投稿が散見されますが、実際は違います。
上記の引用文を見てください。
「このエクスプロイトは、LedgerハードウェアやLedger Liveの完全性には影響しませんでしたし、影響もありません。」
問題があったのは、あくまでツールであり、デバイスなどに問題があったわけではありません。
なぜ今回の被害が起きたのか?
ハッカーがLedger Connect Kitに、悪意のあるバージョンを公開したことが原因です。(バージョン1.1.5、1.1.6、1.1.7に影響)
Ledgerの元従業員がフィッシングの被害に遭ったことで発覚しました。
Ledgerのテクノロジーチームとセキュリティチームは報告を受け、40分以内に修正プログラムを配布しています。
悪質なファイルは5時間ほど稼働していましたが、資金が流出したのは2時間以内だったとのことです。
LedgerはWalletConnect(@WalletConnect)と連携し、不正プロジェクトを迅速に無効化しました。
現在は、検証済みのLedger Connect Kitバージョン1.1.8を提供しており、安全に使用可能です。(バージョンは、各自で確認する必要があります)
2023年12月15日時点の状況について
Ledger はWalletConnect、およびパートナーとともに、不正行為者のウォレットアドレスを報告しています。
このウォレットアドレスは、Chainalysis(@chainalysis)で確認できます。
Tether(@Tether_to)は不正行為者の USDT を凍結済み。
現時点では、資金が影響を受けた可能性のある人を支援するために積極的に取り組んでいるそうです。
確定はしていませんが、資産を補填するのではないかと考えられます。
さらに告訴を提出し、不正行為者を見つけるために法執行機関と協力して捜査中とのことです。
資金が流出した不正行為者のアドレスは以下であると考えられています。
0x658729879fca881d9526480b82ae00efc54b5c2d
ユーザーはどうすればいいのか?
ハッキングを防ぐための対策方法は、署名前に署名内容を確認することです。
最近のハードウェアウォレットでは「Clear Signing」が用意されています。
通常は、ブラインド署名で、署名内容は人間が読めない形になっています。
「Clear Signing」は、署名内容を読めるようにした機能です。
署名内容を確認することで、不正な内容を防止できます。
コントラクトアドレスを確認することも重要です。
Clear Signing は対応しているDappsも限られてくる上、署名内容を読むためにも専門知識が必要です。
一般ユーザーにおいては、 ハッキング防止機能がついているWallet(Rabby Walletなど)に Ledger をつないで利用することも有効。
特にRabby Wallet では、普段つないだことがないコントラクトは警告が出るため、事前にハッキングを防ぐことが可能です。
メタマスクでも、保護セキュリティ機能が実装されています。
以下の記事を参考にしてください。
関連記事:メタマスクでプライバシー保護機能が導入!
対策方法については、NFTエンジニアのはやっち(@HayattiQ)氏の投稿を参考にしました。
あわせてご確認ください。
まとめ
本記事では、「Ledger Connect Kit上」での不正プログラムと対処法について解説しました。
- まとめ
- ・Ledgerとは?
・Ledgerのハードウェアウォレットが危ないわけではない
・なぜ今回の被害が起きたのか?
・2023年12月15日時点の状況について
・ユーザーはどうすればいいのか?
被害が拡大すると、様々な情報が飛び交います。
今回の情報で一番の誤情報は「Ledgerが危ない」でしょう。
こういう時に焦って資金を動かそうとすると、スキャムを踏む可能性が高くなります。
なぜなら、人の焦りにつけこみ、フィッシングサイトへの誘導をする人が出てくるからです。
今回で言えば、Ledgerの公式Xや、公式サイトのブログ記事を見て対処をするのが確実です。
NFT NEWS Japanでは、セキュリティ関連の記事を多く出しています。
ぜひ、参考にしてください。
NFT NEWS Japan:セキュリティ関連記事一覧
画像ソース:Ledger公式サイト
