見出し画像

Solana における暗号資産の不正移転事件からみえた難題 ー『Web3の未解決問題』から学ぶ

Project LUCK@暗号資産の会社

Solanaという暗号資産の銘柄は聞いたことがあるかと思います。その銘柄も昔、問題が起こっていました。その事件とそこからどのような問題が浮き彫りになったのかを『Solana における暗号資産の不正移転事件からみえた難題』という3章の初めの議題から取り上げ、書いていきたいと思います。

セキュリティやどのような流出がこれまでにあったかを知っておくだけでも、銘柄を持つことで起こりうるリスクなどを少しでも理解できるようになっておきましょう。

by Project LUCK 飯野

↓↓↓目次↓↓↓


Solanaと起こった事件

Solanaは、高速で低コストのトランザクションを提供するブロックチェーンプラットフォームです。2022年8月、Solanaブロックチェーン上で、暗号資産がユーザーの許可なく他のアドレスへ移転される事件が発生しました。この事件では、約9232のアドレスから暗号資産が不正に移転され、被害総額は約400万ドルに上ります。ブロックチェーン上の「アドレス」とは、ユーザーの口座に相当するもので、ここに暗号資産が保管されます。

ウォレットソフトウェアが署名鍵を開発元サーバーに送信していた

ウォレットソフトウェアとは、ユーザーが自分の暗号資産を管理するためのアプリケーションです。このソフトウェアは通常、ユーザーの秘密鍵(署名鍵とも呼ばれる)を管理し、これによって取引の承認(署名)が行われます。事件では、あるウォレットアプリ(Slope Wallet)が、この重要な秘密鍵をモニタリング目的で開発元のサーバーに送信していたため、外部に漏れるリスクが生じていました。

画面遷移時に受け渡されるウォレットの秘密情報がモニタリング用のログに収集されてしまう

このウォレットアプリでは、ユーザーが異なる画面に移動する際(例えば、アカウント設定から残高確認への遷移など)、秘密鍵やその他の重要な情報がログとして収集されていました。このログはエラー発生時に自動的に開発元に送信されるため、潜在的に重要情報が不正アクセスされるリスクがありました。

モニタリングサービスのSDKが自動で画面遷移のイベントを収集

ウォレットアプリは、「Sentry」というモニタリングツールを使用しており、このツールのSDK(ソフトウェア開発キット)が導入されていました。SDKをアプリに組み込むと、ユーザーの行動(特にエラー発生時の画面遷移)を自動的に記録し、これを開発者が問題の解析に利用することができます。しかしこれにより、重要なウォレット情報も含まれる可能性があるため、セキュリティ上の問題が生じていました。

暗号資産が不正に移転した直接の原因はまだ特定されていない

事件の詳細な原因は、記事執筆時点ではまだ明らかにされていません。モバイル版Slope Walletがログ情報を不適切に取り扱っていたことは確認されていますが、これがどのようにして不正利用されたのか、または別の原因があるのかは解明されていません。

改めて浮き彫りになったブロックチェーンの鍵管理問題

この事件は、ブロックチェーン技術における鍵(キー)管理の重要性を改めて浮き彫りにしました。個々のユーザーが自分の鍵を適切に管理することが、暗号資産の安全を保つためには不可欠です。しかし、多くのウォレットアプリケーションが開発段階でセキュリティの観点が十分に考慮されていないため、ユーザーは慎重にアプリを選ぶ必要があります。


まとめ

Solanaにおけるこの不正移転事件は、技術の進歩と共に新たなリスクが発生することを示しています。暗号資産のユーザーは、使用するウォレットのセキュリティ対策や鍵管理機能を十分に理解し、安全な取引環境を確保することが重要です。


参考文献

X Post

開発者、エコシステムチーム、およびセキュリティ監査人による調査の結果、影響を受けたアドレスは、Slopeモバイルウォレットアプリケーションで一時的に作成、インポート、または使用されていたようです。

Slope Update — 11 August 2022


Slope Wallet Sentry Vulnerability — Digital Forensics and Incident Response Report



この記事が気に入ったらサポートをしてみませんか?