速報:暗号資産ファンド、大規模なサプライチェーン攻撃によるリスク
Crypto Hack: 何が起こったのか?
広く利用されているnpmパッケージ「error-ex」の1.3.3リリースが改ざんされていました。内部には難読化されたコードが隠されており、2つの危険な攻撃モードを発動します:
- クリップボードハイジャック:ウォレットアドレスを貼り付けると、マルウェアが攻撃者の似たアドレスにこっそりと置き換えます。
- トランザクション傍受:ブラウザウォレットを使用している場合、このコードはトランザクションコールを傍受し、確認画面が表示される前に受取人のアドレスを変更することができます。
送信先アドレスのすべての文字を細かく確認しない限り、これに気付くのはほぼ不可能です。
このCrypto Hackのリスクがあるのは誰か?
- 開発者:バージョンを厳密に固定せずに依存関係を取得しているプロジェクトは、感染したバージョンをインストールしている可能性があります。これは、CIパイプライン、本番ビルド、JavaScriptに依存するアプリに影響を及ぼす可能性があります。
- 暗号資産ユーザー:このマルウェアは、主要な資産である$BTC、$ETH、$SOL、$TRX、$LTC、$BCHを標的としています。クリップボードユーザーもブラウザウォレットもリスクがあります。
- プラットフォーム:npmライブラリを統合している中央集権型アプリも、知らずに悪意あるコードを含んでいる可能性があります。
どの企業が影響を受けたのか?
すでにSwissBorgは、侵害されたパートナーAPIに関連する被害を確認しています。攻撃で192,600 SOL(約41.5Mドル)が流出しました。SwissBorgアプリ自体は安全ですが、SOL Earn Programが被害を受け、1%未満のユーザーに影響が出ました。プラットフォームは、財務資金やホワイトハッカーの支援を含む回復措置を約束しています。
自分を守る方法
今すぐ行うべきことは以下の通りです:
ウォレットユーザー向け
✅ すべてのトランザクションを必ず確認し、署名前に受取人アドレス全体をチェックしましょう。
✅ 署名内容が明確に表示されるハードウェアウォレットを使用しましょう。
✅ 不要なブラウザウォレット拡張機能は避けましょう。
✅ 何か違和感がある場合(予期しない署名リクエストなど)、すぐにタブを閉じましょう。
開発者向け
⚙️ 依存関係を固定するため、CIビルドをnpm installからnpm ciに切り替えましょう。
⚙️ npm ls error-exを実行して感染したインストールを検出しましょう。
⚙️ 安全なバージョン(error-ex@1.3.2)を固定し、ロックファイルを再生成しましょう。
⚙️ SnykやDependabotなどの依存関係スキャナーを追加しましょう。
⚙️ package-lockの変更もコードレビューと同じ厳しさで確認しましょう。
今後の展望
この事件は、Web3およびそれ以外のサプライチェーンの脆弱性を浮き彫りにしています。小さなパッケージの侵害が数十億回のダウンロードに波及し、世界中の開発者や暗号資産保有者に影響を与える可能性があります。直近の危険はアドレスのすり替え攻撃ですが、より広い懸念はこの問題が金融インフラにどこまで広がるかという点です。
現時点では:署名前に必ず確認し、依存関係を固定し、セキュリティの手抜きをしないでください。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
SwissBorg、Kiln APIに関連する4,100万ドルのSolana流出事件に直面
LedgerのCTO、NPMアカウントハッキング後にウォレット保有者に警告
OpenSeaがプレTGE報酬の最終フェーズを発表、$SEAの配分詳細は10月に公開予定
IOSG:「目を閉じて買う」Shitcoinの時代はなぜ終わったのか?
アルトコイン市場の今後は「バーベル化」が進む可能性があり、一方の端にはブルーチップのDeFiやインフラプロジェクトが、もう一方の端には非常に投機的なアルトコインが存在する構図になるかもしれません。
暗号資産価格
もっと見る
