EMURGO(カルダノネットワークの共同設立企業)は土曜日、6月21日から23日の間に約240万ドル相当のADAが流出したエクスプロイトを受け、自社のSecondFiウォレットのユーザー向けに復旧ソリューションを特定したと発表した。CEOのフィリップ・ポン氏は、同社がフォレンジック調査を完了し、ウォレット残高を検証したと述べ、資金返還のための2週間のスケジュールを設定した(復旧メカニズムの構築に1週間、テストに1週間)。この侵害は374のアドレスに影響を及ぼし、同社によれば、ウォレット生成ソフトウェアのアドレスレベルの欠陥によりユーザーの秘密鍵が露出したことが原因である。EMURGOはカルダノネットワークの3つの設立組織の1つであり、SecondFiは4月にローンチされたYoroiウォレットのリブランド版である。
Xに投稿された声明で、ポン氏は影響を受けたユーザーに対し、資金を移動したり、SecondFiの公式ガイダンスの範囲外の措置を取らないよう求め、復旧は侵害されたウォレットの現在の状態に基づいて進められていると述べた。また、ユーザーの参加を必要とするステップはまだ開始されておらず、SecondFiが秘密鍵、シードフレーズ、またはウォレットへのアクセスを求めることは決してないと付け加えた。土曜日の投稿は、同社が復旧に具体的なスケジュールを初めて示したものだ。同社はまだ完全な技術的なポストモーテムを公開しておらず、ユーザーごとの復旧額も示しておらず、ユーザーがどのように資金を請求するかの詳細も明らかにしていない。
SecondFi、6月21日から23日の間に374アドレスで240万ドルの流出を記録
SecondFiは、6月21日から23日の間に4回のウォレット流出イベントがあったと説明した。うち3回は外部攻撃者によるもので、374のアドレスから当時約240万ドル相当の約1600万ADAが流出した。4回目のイベントでは、SecondFiは資金を攻撃者から遠ざけるための緊急措置として、約1億2900万ADAを独立した第三者カストディアンに移動したと述べた。外部の会計事務所がこれらの保有を検証するために雇用されており、影響を受けたユーザーはサポートサイトを通じてクレームを提出できるとしている。
同社は、2つの攻撃者ウォレットを特定し、1つは171のウォレットを、もう1つは203のウォレットを流出させたこと、また、盗難に関連する約400万ADAが監視下にあるフラグ付き収集アドレスにあると述べた。法執行機関にも通知したとしている。
Tibane Labs、侵害は6月8日にデプロイされた未監査のSDKに起因すると主張
SecondFiは、ウォレット生成ソフトウェアのアドレスレベルの欠陥がユーザーの秘密鍵を露出させたと非難している。影響を受けたリカバリーフレーズを別のウォレットで復元してもリスクは除去されないと警告している。これは、侵害されたアドレスがトランザクションに署名すると露出が引き起こされるためである。
Tibane Labsは土曜日にこのインシデントに関するフォレンジックレポートを公開した。Tibane Labsは独自のウォレットを開発しており、その調査結果は、同チームの一員である元Mt. Gox CEOのMark Karpelès氏がXで以前に公開した主張を追跡するものである。つまり、その分析は競合他社からのものである。
Tibaneは、侵害はノンスの再利用によるものではなく、Ed25519署名エラーによるものだと述べた。報告書によると、ウォレットの署名者は、標準が各署名に混ぜ込むキーごとの秘密情報をドロップしており、そのため秘密であるべき値が公開トランザクションデータのみから計算されるようになっていた。これにより、誰でもその値を導出できるようになり、単一の署名で秘密鍵を再構築でき、2回目のトランザクションや統計的攻撃は不要だった。
Tibaneは、脆弱な署名者はtrantorと呼ばれる実験的な未監査のSDKであり、独立した開発者によってnpmに公開され、6月8日にEMURGOの以前に出荷され監査されたビルドを置き換えたものだと述べた。最初の侵害された署名は同日にオンチェーンに現れていると報告書は述べている。Tibaneは、基礎となる暗号ライブラリは健全であり、欠陥はウォレットがキーをそのライブラリに配線する方法にあり、秘密のノンス素材が設定されないままになっていたと述べた。また、署名されたAndroidビルドを逆コンパイルし、trantorコードと一致させ、過去の署名から被害者の秘密鍵を回復してメカニズムを確認したと述べている。
EMURGOは技術的なポストモーテムを公開しておらず、TibaneがサードパーティSDKに起因するとした主張についても公に言及していない。別途、セキュリティ研究者のTaylor Monahan氏は今週、SecondFiが「独自の暗号を実装した」と述べ、ソフトウェアはクローズドソースで監査されていなかったと語った。
EMURGO、未監査コードのデプロイに関するガバナンスの疑問に直面
Yoroiは、4月のSecondFiへのリブランド前の数年間、カルダノの主要な軽量ウォレットとして機能しており、EMURGOはネットワークの3つの設立組織の1つである。Tibaneはこの事件をコーディングエラーというよりもガバナンスの失敗として捉え、設立組織が独立したレビューや欠陥を発見できたはずのテストなしに、監査済みビルドの代わりに未監査のコードを本番環境に出荷したと主張している。
Tibaneの見解では、6月8日以降の署名のみが露出しており、それ以前に署名されたトランザクションは監査済みの実装を使用していた。
FAQ
SecondFiウォレットのユーザーに6月21日から23日の間に何が起こったのか?
外部の攻撃者が、3回にわたる別々のイベントで374のアドレスから約240万ドル相当のADAを流出させた。EMURGOは緊急措置としてさらに1億2900万ADAを第三者カストディアンに移動した。
EMURGOはいつ資金返還のスケジュールを発表したのか?
EMURGOのCEOフィリップ・ポン氏は土曜日、復旧ソリューションを特定したと発表し、2週間のスケジュール(復旧メカニズムの構築に1週間、返還開始前のテストに1週間)を設定した。
Tibane Labsによると、SecondFiウォレットのエクスプロイトの原因は何か?
Tibane Labsは、侵害はtrantorと呼ばれる未監査SDKのEd25519署名エラーによるものであり、これが6月8日にEMURGOの監査済みビルドに取って代わったとしている。報告書は、脆弱な署名者がキーごとの秘密素材をドロップし、単一の署名から秘密鍵の再構築を可能にしたと述べている。
