セキュリティ基準の大幅な引き上げを実施
暗号資産(仮想通貨)ウォレットを展開する「Safe(セーフ)」は7日、仮想通貨取引所「Bybit(バイビット)」におけるハッキング攻撃の調査状況を共有した。このハッキングは同社がバイビットへ提供していたマルチシグウォレット「Safe Wallet(セーフウォレット)」の開発者環境の侵害を起点として発生し、約14億ドル相当の資金が流出した。
今回の調査報告によると、サイバー攻撃はFBI(米連邦捜査局)により、北朝鮮に関連するグループ「TraderTraitor(UNC4899)」によるものであることが断定されている。攻撃者はセーフウォレット開発者が使用していたラップトップ(ノートパソコン)にマルウェアを感染させ、システムへの不正アクセスを実現したという。この開発者は同ウォレットのシステムにおいて高い権限を持っていた。
攻撃者は感染したラップトップから、「AWS(Amazon Web Services)」のセッショントークンを盗み取っている。セッショントークンはAWSのアクセスに必要な鍵のようなものだ。これにより、攻撃者はセーフウォレットの正規の認証プロセスを経由せずに、同ウォレットのシステムへの侵入が可能となった。
システムへ侵入した攻撃者がセーフウォレットのサーバーへのコミットアクセスを取得した可能性については現在も調査が進行中である。一方、別の調査によれば、攻撃者はAWS S3バケットを改ざんし、悪意のあるJavaScriptコードを埋め込んだ可能性が指摘されている。このコードは、バイビットがコールドウォレットからウォームウォレットに資金を移動する際に作動し、トランザクションの内容を攻撃者のアドレスへ資金が送られるように書き換える仕組みが構築されていた可能性が高いとされている。
セーフによると、ウォレットのバックエンドシステムは侵害を受けたが、スマートコントラクト自体には影響が及んでいないとのことだ。同社は今回の事件を受け、同ウォレットのセキュリティ基準の大幅な引き上げを実施。セキュリティのさらなる強化を図ったという。具体的には、インフラストラクチャの完全なリセットや外部アクセスの一時制限、悪意のあるトランザクションの検出機能強化などが挙げられている。
セーフウォレットチームは、Web3環境における最大のセキュリティ課題について「トランザクションが意図した通りに実行されることを検証することにある」と強調。トランザクション署名はユーザーセキュリティにおいての最終防衛ラインだと主張した。チームは今後、ユーザーがトランザクション検証をより簡単かつ安全に進められる対策を講じていく予定だと語っている。
セーフはサイバーセキュリティ企業「Mandiant(マンディアント)」と協力し、ハッキング被害の調査を継続している。今回共有された調査報告は完全なものではなく、マンディアントによる予備的な調査結果となっている。攻撃者はマルウェアやログを完全に削除しているため、詳細なハッキング手口の特定にはさらに時間がかかりそうだ。
関連:Bybitのハッキング、Safe Walletのインフラ侵害が原因か
関連:Bybit、コールドウォレット大規模ハッキング|約14億ドル相当が流出
