2022年11月14日から23日の間に、Trust Wallet のブラウザ拡張機能で作成されたアドレスは盗難の危険性
Trust Wallet(トラスト・ウォレット)は22日、2022年11月14日から23日の間に、Trust Wallet のブラウザ拡張機能で作成されたアドレスには脆弱性があり、資金が盗難される危険性があることを明らかにした。
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
— Trust Wallet (@TrustWallet) April 22, 2023
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87
既に、対象者には「TW Browser Extension」で警告表示がされるようにしているとのことで、使った覚えのある人は早急に確認してほしい。もし通知が表示された場合は、新しいウォレットアドレスを作成し、すぐに資産を移行して脆弱なアドレスの使用を中止するよう呼びかけている。
2022年11月、セキュリティ研究者から、Trust Walletのオープンソースライブラリである。Wallet CoreのWeb Assembly(WASM)の脆弱性が、Trust Walletのバグバウンティプログラムを通じて報告された。Trust Walletのブラウザ拡張機能には、このWASMが使用されており、2022年11月14日から23日の間に生成された新しいウォレットアドレスにこの脆弱性が含まれていた。Trust Walletは、1日以内に修正パッチを適用し、23日以降に生成されたアドレスは安全という。
ブロックチェーンセキュリティ企業Slowmistの創業者Yu Xian氏によると、「本質的な理由は、当時 Trust Wallet ブラウザー拡張機能で使用されていた MT19937 疑似乱数ジェネレーターが十分なランダム性を提供しなかったため、秘密鍵がクラックされる可能性があったこと」という。
注意下这个:如果你用了 Trust Wallet 浏览器扩展且在 2022/11/14-23 期间创建了钱包,那么你这个钱包就存在风险。本质原因是当时 Trust Wallet 浏览器扩展使用的 MT19937 伪随机数生成器没有提供足够的随机性,导致私钥可以被破解。
— Cos(余弦)😶🌫️ (@evilcos) April 22, 2023
好在 Trust Wallet 负责任披露,损失小,细节见这: https://t.co/iV8z9eMCby
ところが、やはり6000万人以上が使っているウォレットだけあって(※)、問題はすぐには収拾しなかった。このようなTrust Walletの最善の努力にもかかわらず、Trust walletの継続的な調査により被害総額は約17万ドル(約2200万円)に達したという。これを受け、Trust Walletは、透明性とユーザー保護へのコミットメントとして、脆弱性に起因するハッキングによるユーザーの損失を補償することを表明した。脆弱性のあるアドレスには、まだ88,000ドル(約1100万円)残っているという。該当した人は以下のページからから補償を請求できる。
Trust Walletは今回の事件を受けて、セキュリティ監査と監査範囲を5倍以上ににするなどセキュリティをより強化したとしている。
なお、直近で、下記ツイートに端を発したMetamaskから資金が不正に流出しているニュースがあるが、これとは関係ないとのこと。