以前から秘密鍵生成の仕組みに問題があり、
一定の期間資産が盗まれたことで話題になったTRUSTウォレットですが、最近また話題となっています。
送受信に使うアカウントのアドレスから本来はたどり着けない秘密鍵がわかってしまうというもの。
The Trust Wallet extension’s vulnerability allowed an attacker to drain all the wallet funds… without the owner even touching theur device.
— Charles Guillemet (@P3b7_) April 25, 2023
By knowing an account address, a hacker could compute its private key, and then access all its funds. pic.twitter.com/aagiQf03eb
2023年4月25日にも指摘されていた内容ですが、2024年2月8日アメリカのサイバーセキュリティ研究機関NISTが発表したため、Xで再注目されています。
TRUSTウォレットはどこの会社が管理している?
バイナンスが買収したTRUSTウォレットですが、現在はバイナンスのものではない。とバイナンスの広報が回答したとのこと。
ホットウォレットはいつの間にか買収されていたりするのでどこが管理しているのか?利用者が認識できていないことも多いです。バイナンスのウォレットだから大丈夫だろう。と思って使っていた人も少なくないのではないでしょうか?
これって怖いことですよね。
ブレッドウォレットはコインベースに買収されましたが。
知らずに使っている人も多いと思います。
iosアプリはAppleの審査があるため、
変な会社のアプリはないだろうと思われがちですが。
アプリを開発した会社ごと買収されていてた場合はどの会社のものか?
わからないのは当然です。
2023年4月に5000ETH盗難された原因不明の事件もありました。
https://jp.cointelegraph.com/news/metamask-denies-claims-of-wallet-exploit-in-massive-10m-hack
この時、秘密鍵の生成に原因があるのではないか?
ハードウェアウォレットでも安心できないのではないか?
といった疑念もあり、どのような管理がベストなのか?
不安になった人も多いです。
秘密鍵の生成をどのように行うか?
ハードウェアウォレットの場合、秘密鍵はデバイスに内蔵されているチップで初期設定時に生成します。
今回のTRUSTウォレットは秘密鍵の生成にデバイス時間が利用されていたことが問題といわれています。
trezor-crypto ライブラリの使用方法が原因で、攻撃者がセキュリティ ワードを推測し、デジタル ウォレットからお金を盗むことが可能になりました。
と書かれています。TREZORのライブラリが原因といわれると、ハードウェアウォレットのTREZORも安全ではないのでは?と思われるかもしれませんが、TRUSTウォレットのTrezor Cryptoライブラリの使い方が問題であり、TREZOR自体のハードウェアウォレットの秘密鍵をつくる仕組みとは一切関係がありません。
TRUSTウォレットの秘密鍵の乱数生成の仕組みに問題がある脆弱性です。
例えば、パスワードは2桁ではかんたんに推測できます。パスワードは200桁になれば推測はむずかしくなります。
同じように秘密鍵は生成が複雑である必要があります。
かんたんに言えば、TRUSTウォレットの場合はそれが複雑化できていなかったということです。
利用者数の少ない無料のウォレットのリスク
ホットウォレットもコールドウォレットもウォレット事業者やプログラムに理解のある利用者が監視、指摘をしていますが、マイナーなウォレットに慣ればその監視対象にもなりません。
そのため、利用者数が少ないウォレットは使わないほうが無難です。
無料のウォレットも使わないほうが無難です。
ハードウェアウォレットも含め。
どのウォレットでも利用規約に脆弱性を含め盗まれた場合には何ら責任は負うことはないといった内容が書かれています。
知名度のあるウォレットであれば社会的な倫理観からも監視対象となり、セキュリティ商品を販売する会社としての体裁を守ろうとしますが、知名度のないウォレットでどこの会社が管理しているかもわからないようなウォレットは責任者もわからず、逃げられてしまえばそれで終わりです。
またユーザーが多ければ多いほど、Xなどでも話題にあがるため、今回のようにTRUSTウォレットは指摘を受けましたが、そうでない場合は知らないうちにウォレットアプリそのものがサービスを終了して存在そのものが消えてなくなります。
無料ウォレットのリスクは何度もお伝えしてきていますが、こういったことも踏まえた上でご自身の責任でウォレットを選択する必要があります。
私たちはプログラムの脆弱性の指摘をする知識もなく、その背景をすべて知りうることはできませんが、それでも選択肢がある中で何が無難で、よりよいものか?選択する必要があります。
周りの方でTRUSTウォレットを使用されている方がいたら、ご注意下さい。
他のホットウォレットでも同じように秘密鍵の生成においての脆弱性がないとはいえません。
ハードウェアウォレットの利用もしくは、取引所に預けるなどの選択を検討して下さい。
日本の取引所はコインチェック事件後、金融庁の指摘から日本人の資産が守られるように、取引所は預け入れ資産同等の資金を日本円でもつことが義務付けられています。
個人情報、パスワードや2段階認証を盗まれたことによる不正送金以外は保証の対象です。
取引所が管理する暗号資産が取引所から資産が盗まれた場合は保証対象となります。
そういった点では金額にもよりますが、取引所も分散して預け入れる対象にしてもいいのではないでしょうか?
ハードウェアウォレットはハードウェアウォレットで秘密鍵の管理や取り扱い、操作など基礎的な知識を持った上での管理が重要となります。
こういった背景も踏まえて最低限の知識を持った上で管理しなくてはなりません。
大抵の資産は日本人から日本人によってではなく、外国人から盗まれ、海外にもっていかれてしまいます。
大切な資産です。
しっかりとご自身で考えて管理しましょう。