「エリプティックによると、北朝鮮のハッカーによってAtomic Walletが侵害されました」

ブロックチェーン・インテリジェンス企業のEllipticは、火曜日のブログ投稿で、北朝鮮の有名なハッキンググループであるLazarusに被害者が出ている可能性があると述べています。

非保管型の暗号通貨ウォレットであるAtomicのチームは、先週土曜日早朝、一部のユーザーが侵害され、ウォレットから資金を失ったことを発表しました。同社によれば、事件数は”月間アクティブユーザー”の1％を超えていないとのことです。この発表は、Redditの複数のユーザーからの報告に続いています。

偽名のブロックチェーンスリュースであるZachXBTは、ビットコイン（BTC）、イーサリアム（ETH）、テザー（USDT）、ドージコイン（DOGE）、ライトコイン（LTC）、BNBコイン（BNB）、ポリゴン（MATIC）およびTronベースのUSDTなど、さまざまな暗号通貨で約3,500万ドル相当が盗まれたと推定しています。

盗まれた暗号通貨は、Sindbad.ioというミキサーに送金されたとEllipticは書いています。このミキサーは、Ellipticが以前制裁を受けたミキサーBlender.ioの後継者と考えており、Lazarusに帰せられる他のハックからの資金洗浄に頻繁に使用されているとのことです。同社はまた、Atomicからの盗品を含むウォレットといくつかのLazarusのハックの間につながりを発見したとのことです。

• カルダノ価格はSECがADAを証券と見なすと発表した後、ゼロに向かっている一方、エコフレンドリーな暗号通貨エコテラは新高値を打ち出し、2023年には100倍のポテンシャルがある？
• 暗号通貨価格が暴落する中、クジラたちは取引所に上場する前に$WSMを蓄積しています – 彼らが何を知っているのでしょうか？
• ブロックチェーンコーディングに初めて取り組む開発者向けの10の業界内部者のヒント

Atomic Walletの責任者は、コメントのリクエストに即座に応じていません。

詳細はこちら：Least Authority Discloses Security Risks in Atomic Wallet

ハックされたもの

昨年、セキュリティ監査会社Least Authorityは、ブログ投稿で、Atomic Walletが侵害の危険にさらされている可能性があると警告しました。Least Authorityによれば、問題は、Atomicが暗号化を実装する方法、ウォレット設計の最良のプラクティスに従わなかったこと、健全なプロジェクトドキュメントの欠如、およびデスクトップアプリケーションを構築するためのフレームワークであるElectronの誤った使用方法などが含まれていました。同社はその後、投稿を削除しました。

ブロックチェーンセキュリティ企業HackenのCEOであるDmytro Budorinによれば、ハッキングがどのように起こったかにはいくつかの可能性があります。Atomicのウォレットの回復フレーズ（いわゆるシードフレーズ）を生成する方法が、十分にランダムな単語のシーケンスを生成しなかったため、ハッカーがウォレットをブルートフォースできるようになったことが理由の1つであるとBudorinはKocooに語りました。

Atomicのような非保管型ウォレットは、ユーザーが中央集権化された会社を信頼せずに自律的に暗号通貨を保持できるため、ユーザーがウォレットのデバイスやパスワードを失った場合、シードフレーズを使用してのみ資金を回収できます。ただし、シードフレーズにアクセスできる人はウォレットを複製し、資金を盗むことができます。

別の仮説としては、ハッカーがビットコインブロックチェーン上に見えるトランザクションデータから、ユーザーの秘密鍵を数学的に導出することができた可能性があります。これは、カリフォルニア大学サンディエゴ校の研究者によって新たに発表された論文で説明されています。Hackenはまた、AndroidバージョンのAtomicがトランザクションに署名する際に「古くて脆弱な依存関係に頼っていた」とBudorinは述べています。

Hackenによれば、ウォレットメーカーへのサプライチェーン攻撃、Atomicのウェブサイトのハッキング、またはユーザーの秘密鍵がAtomicの中央集権型サーバーに意図的または意図しない形でブロードキャストされた可能性があります。

ZachXBTによれば、SolanaブロックチェーンスケーリングスタートアップのJito Labsは、1つのウォレットから盗まれた100万ドル以上を成功裏に回収しました。

「このハックは非常に大きな問題を浮き彫りにし、暗号通貨ウォレットの根本的な問題を浮き彫りにしています。ウォレットは、セキュリティのベストプラクティスを実装した堅牢なアーキテクチャを構築するには十分な注意を払っていません」とBudorinは付け加えています。

Nikhilesh Deが編集しました。

We will continue to update Kocoo; if you have any questions or suggestions, please contact us!