ブロックチェーン・セキュリティ・プラットフォームのGoPlusは4月10日に緊急アラートを発表し、Androidのプッシュ通知に広く利用されているEngageLab SDKに重大なセキュリティ脆弱性があると指摘した。この脆弱性は5,000万以上のAndroidユーザーに影響し、そのうち約3,000万が暗号資産ウォレットのユーザーだ。攻撃者は被害端末に、正規のアプリに偽装したマルウェアを導入し、暗号資産ウォレットの秘密鍵とログイン認証情報を窃取できる。

脆弱性の技術的な原理：サイレント実行のクロスアプリ攻撃チェーン

（出典：GoPlus）

今回の脆弱性の中核となる欠陥は、EngageLab SDKがAndroidシステムのIntent通信メカニズムを処理する際に、十分な発信元検証を行っていない点にある。IntentはAndroidアプリ間で指示を受け渡す正当な仕組みだが、EngageLab SDKの実装では、未認可の発信元からの指示が通常の検証プロセスを回避してしまい、標的アプリが機微な操作を実行してしまう。

完全な攻撃チェーンの3ステップ

悪意のあるアプリの埋め込み：攻撃者はマルウェアを正規のAppとして偽装し、被害者に同一のAndroid端末へインストールさせる

悪意のあるIntentの注入：悪意のあるアプリが、同一端末上でEngageLab SDKが統合された暗号資産ウォレットまたは金融アプリに対して、入念に細工された悪意のあるIntentを送信する

権限のない操作の実行：標的アプリがIntentを受信すると、ユーザーに知られることなく、ウォレット秘密鍵の窃取、ログイン認証情報、その他の機微なデータを含む未認可操作を実行する

この攻撃チェーンの最大の危険性は、そのサイレント性にある。被害者は能動的な操作を行う必要がなく、端末上に悪意のあるアプリと、脆弱性のあるバージョンのEngageLab SDKを含むアプリが同時に存在するだけで、攻撃がバックグラウンドで完了する。

影響規模：暗号ユーザーが不可逆の資産損失リスクに直面

EngageLab SDKは、広く展開されたプッシュ通知の基盤コンポーネントとして、数千のAndroidアプリに統合されており、今回の脆弱性の影響範囲は5,000万台規模に達している。そのうち暗号資産ウォレットのユーザーは約3,000万だ。

暗号資産ウォレットの秘密鍵が漏えいすれば、攻撃者は被害者のオンチェーン資産を完全に掌握できる。そして、ブロックチェーン取引の不可逆性により、この種の損失はほぼ取り戻せず、一般的なアプリのデータ漏えい事件を大きく上回るリスクとなる。

緊急対応策：開発者とユーザーの即時アクション・リスト

セグメント別セキュリティ推奨

アプリ開発者とベンダー

・製品にEngageLab SDKが統合されているかを直ちに確認し、現在のバージョンが4.5.5未満かどうかを確認する

・ EngageLab SDK 4.5.5以上の公式の修正バージョンへアップグレードする（EngageLab公式ドキュメントを参照）

・更新版を再リリースし、ユーザーにできるだけ早くアップデートを完了するよう通知する

一般的なAndroidユーザー

・直ちにGoogle Playにアクセスしてすべてのアプリを更新し、暗号資産ウォレットおよび金融系のアプリを優先して対応する

・出所不明または非公式チャネルからダウンロードしたアプリに警戒し、必要に応じて直ちに削除する

・秘密鍵が漏えいした疑いがある場合は、セキュア端末上で新しいウォレットを作成し、資産を移し替えて、旧アドレスを永久に無効化する

よくある質問

EngageLab SDKとは何で、なぜ暗号資産ウォレットに広く統合されているのか？

EngageLab SDKは、Androidのプッシュ通知機能を提供するサードパーティのソフトウェアスイートで、導入の手軽さから大量のアプリで採用されている。プッシュ通知はほとんどすべてのモバイルアプリの標準機能であり、そのためEngageLab SDKは暗号資産ウォレットや金融アプリに広く存在し、今回の脆弱性の影響規模が5,000万ユーザーにまで達することにつながった。

自分の端末がこの脆弱性の影響を受けているかどうかをどう確認すればよいか？

Android端末に暗号資産ウォレットまたは金融アプリがインストールされていて、まだ最新バージョンに更新されていない場合、影響を受けるリスクがある。直ちにGoogle Playストアで、すべてのアプリを更新することを推奨する。開発者はアプリ内のSDKのバージョン番号を確認することで、4.5.5未満のバージョンのEngageLab SDKを使用しているかどうかを確認できる。

秘密鍵が漏えいしてしまった場合、緊急時はどう対処すべきか？

感染していないセキュア端末上で新しいウォレットアドレスを直ちに作成し、元のウォレットのすべての資産を新しいアドレスへ移し替え、元のアドレスを永久に無効化する。関連するすべてのプラットフォームでログインパスワードを同期して変更し、口座に二要素認証を有効化して、今後さらに侵害されるリスクを下げるべきだ。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

Wasabi Protocol のユーザーは、残りの資金を安全に出金できるようになりました

プロジェクト進捗セキュリティインシデント

Wasabi Protocolによると、ユーザーは現在、プロトコルのスマートコントラクトと安全にやり取りして、残っている資金を引き出せます。チームは、セキュリティインシデントの調査を継続しており、状況が整い次第、コミュニティに向けてさらなる最新情報を共有すると述べました

GateNews2時間前

ウォレットを奪い取るコードを含む偽の予測市場としてPolyArbがフラグを立てられました

予測市場執行措置セキュリティインシデント

オンチェーンの捜査官ザック・ザック（ZachXBT）によれば、PolyArbは不正な予測市場プロダクトであり、そのWebサイトにはウォレットを奪うコードが埋め込まれています。このプロジェクトのアカウントも、確立された予測市場プラットフォームの投稿の下で物議を醸す返信を行い、アクセスを増やしてユーザーを惹きつけることに加担してきました、a

GateNews3時間前

Bisqプロトコルが攻撃され、5月4日に11 BTCが盗まれる；DAOの投票で補償計画へ

bitcoin news プロジェクト進捗パートナーシップ・エコシステムセキュリティインシデント取引所リスク

Bisqによると、このプロトコルは5月4日に検証メカニズムの欠如により攻撃を受け、約11 BTCが主にアルトコイントレードから盗まれた。プラットフォームは被害を受けたユーザーへの補償の選択肢を協議しており、ユーザーはビットコインまたはBSQトークンの払い戻しから選べる。p

GateNews3時間前

$292M 暗号ハックによりDeFiのセキュリティ脆弱性が露呈し、業界の改革を求める声が高まっています

規制・政策セキュリティインシデント

CoinDeskによると、今年の2億9,200万ドル規模の暗号資産ハックにより、DeFiプロトコル内の重大なセキュリティ脆弱性が露呈し、業界の関係者がリスク管理と市場構造の改革を求めるに至った。従来型の金融がますますオンチェーンへ移行する中での動きだ。

GateNews4時間前

パラダイムは、鍵管理の証明のためのビットコイン量子耐性設計を提案しています

bitcoin news セキュリティインシデント

ベンチャーキャピタルのパラダイムは、提案によれば、量子コンピューターが到来する前に暗号資産保有者が脆弱な鍵を管理していることを、個人的にタイムスタンプ付きで証明できるようにする新しい設計を提案した。この設計は、ビットコインがもし旧来のものを停止する事態になった場合の、救済のための可能な道筋を作ることを意図している

CryptoFrontier5時間前

北朝鮮の債権者が、Arbitrumで凍結されているKelp DAOのETHを差し押さえようとしている

ethereum news セキュリティインシデント

5月1日、テロ被害者を代表する弁護士らがArbitrum DAOに対して差止めの通知を提出し、4月20日にKelp DAOのエクスプロイトを受けてArbitrum Security Councilが凍結した30,766 ETH（約$71.1 million）の移動を阻止した。原告側は、凍結された資金はノートに関する財産であると主張している。Nort

CryptoFrontier5時間前

0/400

コメントなし