リスク警告:「仮想通貨」「ブロックチェーン」の名のもとでの違法な資金調達のリスクに注意してください。—銀行保険監督管理委員会など5部門
情報
発見
検索
ログイン
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
View Market
髪を引っ張る道具は安全事故を引き起こす、「代替インフラ」は阻止されなければならない
Loopy Lu
读者
2023-08-30 11:52
この記事は約2389文字で、全文を読むには約4分かかります
複雑化するリスク: Bit Browser から始まる...

オリジナル |

著者 | ルーピー・ルー

先週末、暗号化の世界とはあまり関係がないと思われる製品が暗号化コミュニティの視野に入ってきました。 「マルチオープン」や「グループ管理」に多用されるBitbrowserは大規模なウォレット盗難を引き起こし、被害額は数十万ドルに達しています。

これまでにも、乱数生成器、スマートコントラクトプログラミング言語、iOS/Androidシステムリスクなどが大規模なセキュリティインシデントを引き起こしました。暗号化の世界が成熟し、より複雑になるにつれて、セキュリティ状況はますます危険になり、人々が検出するのが難しいさまざまな場所にリスクが静かに現れます...

ビットブラウザとは何ですか?

暗号化ユーザーの多くにとって、「ビットブラウザ」という製品名は少し聞きなれないかもしれません。

正式名称は「ビットフィンガープリントブラウザ」。公式サイトの情報によると、この製品の主な機能は、「サンドボックス」機能と同様の環境シミュレーションであり、IP、デバイス情報、ブラウザ情報など、さまざまなユーザー追跡情報を各ウィンドウでシミュレートできます。

そして、この一連の機能は、主に複数のユーザーをシミュレートし、各「ユーザー」が独立した情報を持てるようにするという 1 つの目的を果たしており、ブラウザーにはグループ制御機能も提供されています。

Bit Browser の市場対象者は、主に外国貿易電子商取引 (Amazon、Shopee など) およびソーシャル メディア運営 (Facebook、Tiktok など) です。公式ウェブサイトのスローガンは、「ビットブラウザで大規模な国境を越えたビジネスを簡単に管理」と述べています。

この製品は暗号通貨業界のユーザー向けに特別に設計されたものではありませんが、その一連の機能はウールリストのニーズを正確に満たしています。そのため、多くの「ヘアブラシ派」がこの商品を使用しています。

盗難の理由は様々

最近、「Lumao」コミュニティのメンバーのグループが、Lumao ウォレットが盗まれたことを発見しました。被害者らは自主調査の結果、盗難かBitFingerprintブラウザの使用によるもので、直接の原因は秘密鍵の漏洩だったと考えている。

Bitfingerprint Browser は、できるだけ早くコミュニティで公式に回答しました: WPS For Windows の一部のバージョンには、リモートでコードが実行される脆弱性があり、攻撃者はこの脆弱性を利用して、被害者のターゲット ホスト上で任意のコードを実行したり、ホストを制御したりする可能性があります。 (WPS は Bit Browser ユーザーとどのような関係があるのでしょうか? Bit Browser の説明では、この脆弱性はトリガーされやすいため、未知のリンクをクリックした後にハッキングされる可能性があるとのことです。)

そして、このソフトウェアは暗号化の世界から遠く離れているため、しばらくの間、とんでもない反応を示しました。

最初の反応は仮想通貨コミュニティによってミームとして広く拡散されました

Bit Browser の説明は間違いなくユーザーを納得させることができませんでした。 Bitbrowserは8月26日、この事件を受けて「サーバー側のキャッシュデータがハッキングされた。「拡張データ同期」機能がオンになっているユーザーのウォレットが盗まれる危険性がある」と発表した。ウォレット資産を移管することをお勧めします。」

安全事故、誰のせい?

事件当初、盗難の理由についてはさまざまな意見があった。

私たちがよく使用する MetaMask プラグインでは、秘密鍵はプレーンテキストで保存されません。したがって、ハッカーはユーザーのローカル キャッシュ データのみに依存し、ユーザーの資産を制御することはできません。

ウォレット移行では、最も一般的な「エクスポート」機能に加えて、利用する人が少ない「バックアップ」機能があります。

MetaMaskの「バックアップ」機能

MetaMask が提供する「バックアップ」機能は、秘密鍵/ニーモニック フレーズのエクスポートとはまったく異なることに注意してください。バックアップ後、ユーザーはキーストアとも呼ばれる json ファイルを取得できます。(日々のメモ: より簡単に説明すると、秘密キー = ニーモニック フレーズ = ウォレット コントロール = キーストア + パスワード)

ローカルにキャッシュされたデータにも同じことが当てはまりますが、ユーザーのウォレットはどのようにして盗まれるのでしょうか?

関係者全員による 2 日間の分析の後、事件の原因が最終的に特定されました。ハッカーはサーバーに侵入してユーザーの拡張キャッシュを取得しました。(日常のメモ: この方法では、ハッカーはウォレットのローカル データを取得しますが、ログインできなくなります。)次に、ハッカーは「一般的な URL プラットフォームのパスワードの衝突を試みる」ことでウォレットのパスワードを暴力的に解読し、ウォレットの権限を取得します。

サーバー記録によると、拡張キャッシュを保存するサーバーには8月初旬にダウンロードされた形跡があり(ログ記録は8月2日時点)、複数のIPがロックされており、江蘇省の1アドレスを除いてすべて海外アドレスとなっている。コミュニティメンバーによると、この事件は北京公安局昌平支局によって受理されたという。

しかし、この事件を検討したところ、この事件におけるすべての関係者の責任を明確にするのは困難であることがわかりました。

1つ目は、1つ目のリスクポイントであるキャッシュデータの漏洩です。

一部のユーザーは、キャッシュされたデータがなぜ暗号化されないのか疑問に思いました。 Bit Browserは、「拡張データ」を同期する際、データ転送が暗号化されると指摘した。ただし、ハッカーによってソフトウェア本体以外のプログラム EXE ファイルがクラックされた場合、ハッカーは拡張データを入手する可能性があります。

しかし、キャッシュされたデータだけに頼っていては、ユーザーの資産を取得することはできません。 「キャッシュされたデータ+パスワード」の組み合わせのみでウォレットを制御できます。ユーザーが日常的に使用する場合、複数のアカウントがパスワードを共有するのが普通です。私たちがよく使用する Web2 Web サイトのパスワードも漏洩することがよくあります。ハッカーは他の Web2 Web サイトのパスワードを取得し、ユーザーの Web3 ウォレットに「資格情報を埋め込む」ことを試みる可能性があります。

さらに、ブルートフォースクラッキングの可能性もあります。ロック解除パスワードの考えられる組み合わせの数は秘密鍵の組み合わせの数よりもはるかに少ないため、ロック解除パスワードを総当たり攻撃することは完全に可能です。(最大失敗回数のロックなどの予防策が製品に導入されていないものとします。)

ユーザーの立場から見ると、Bit Browser はプラグインのキャッシュデータを持ち去り、最終的には漏洩を引き起こしており、その責任は逃れられないのは事実です。しかし、ウォレットへのアクセスパスワード保護の失敗は、ネットワークセキュリティ環境の長期にわたる悪化からも発生します。

代替インフラ

ソフトウェア開発者にとって、「ビット フィンガープリント ブラウザ」の「ビット」という名前の由来はわかりませんが、1 つだけ明らかなことは、この製品は暗号化の世界のために作られたものではなく、暗号化ユーザーのニーズを満たすためだけに作られたということです。

システムが複雑になればなるほど、潜在的なリスクポイントが多くなり、単一障害点があれば侵入されるリスクが生じる可能性があります。

暗号化が盛んに行われていた時代を思い出すと、人々は最も基本的なビットコイン ウォレットしか使用していませんでしたが、当時は DeFi やクロスチェーンなどのインタラクティブなリンクはありませんでした。秘密キーを保管している限り、十分に安全です。

しかし現在、さまざまなオフチェーンの補助ツールやオンチェーンの資金プールにより、さらなるリスクが追加されています。 Bit Browser のようなますます多くの製品が、暗号化の世界における新しい代替「インフラストラクチャ」となりつつあります。多数の「非暗号化」セキュリティ脆弱性が暗号化の世界を危険にさらしています。

  • 8月21日、ハッカーは313万USDTを盗みました。セキュリティ担当者は、盗まれた Android システムのフォト アルバムが侵害され、ハッカーがユーザーの秘密キーのスクリーンショットを取得したと考えています。

  • 8月初旬、カーブから巨額が盗まれた。当時の分析では、Curve コントラクトのセキュリティに問題はなく、盗難の原因はプログラミング言語 vyper の脆弱性であることが判明しました。したがって、aleth、peth、mseth、crveth のプールが利用されます。

  • 5月にはApple IDの同期機能により1000万ドル以上の盗難事件も起きた。多くのユーザーは他人の米国 Apple ID を購入または使用しますが、アカウント所有者はウォレットのローカル データを同期することができ、ウォレットのアクセス パスワードを解読するだけでウォレットを制御できるようになります。これはビットブラウザ盗難事件と全く同じである。被害者ユーザーから盗まれた資金の総額は1,000万米ドルを超えています。

  • 開発者側のセキュリティ状況はさらに複雑です。昨年の Solana ウォレット盗難事件では、下位レベルのニーモニック フレーズの生成に関連するランダム コードがリスクの原因となりました。

暗号化の世界が複雑化するにつれ、将来的には人には検知されにくいツールやソフトウェア、サービスが暗号化の世界に組み込まれる可能性があり、リスクも拡大すると考えられます。

Odaily では、ウォレットのローカル データを他人に渡したり、過剰に認証したりしないように注意していただきたいと思います。さらに、潜在的なリスクの性質のため、電子的手段を使用して秘密キー/ニーモニック フレーズを保存する場合には注意してください。暗号化操作を頻繁に実行するコンピュータには、不明なソフトウェアをインストールしすぎないでください。

関連書籍

「ハッカー事件が頻繁に発生しています。この暗号通貨盗難防止ガイドを受け入れてください。」

安全性
Odaily公式コミュニティへの参加を歓迎します
購読グループ
https://t.me/Odaily_News
チャットグループ
https://t.me/Odaily_CryptoPunk
公式アカウント
https://twitter.com/OdailyChina
チャットグループ
https://t.me/Odaily_CryptoPunk
おすすめ記事
FinCEN MSBは単なる入場券に過ぎません。米国株トークン取引プラットフォームに準拠するには、どのようなライセンスが必要ですか?
BTCとETHは流動性を食い尽くし、アルトコインは買い戻しを利用して流出防止の砲塔を構築している
Coinbase月次レポート:7兆ドルの現金が利用可能、アルトコインシーズンは9月に始まる可能性
AI要約
トップに戻る
複雑化するリスク: Bit Browser から始まる...
著者ライブラリ
Loopy Lu
記事ホットランキング
Daily
Weekly
フォーチュン誌独占インタビュー:井戸端会議の女から暗号通貨の女王へ、バイナンスの危機とカスタマーサービス哲学を語る
フォーチュン誌独占インタビュー:井戸端会議の女から暗号通貨の女王へ、バイナンスの危機とカスタマーサービス哲学を語る
中国の銀行系証券会社がRWAを発表、CMB Internationalは初のSolanaオンチェーンファンドを立ち上げた。
BinanceがUSDC補助金プログラムを開始、カミーノシーズン4インセンティブプログラムも開始(8月12日)
LDOは1週間で60%以上急騰しました。ETHの価値がようやく発見されたのでしょうか?
プロトコル手数料の削減は間近か? UniswapはDAOコンプライアンス強化のためDUNAアーキテクチャを導入
Odailyプラネットデイリーアプリをダウンロード
一部の人々にまずWeb3.0を理解させよう
IOS
Android