Bitfingerprint Browser は、できるだけ早くコミュニティで公式に回答しました: WPS For Windows の一部のバージョンには、リモートでコードが実行される脆弱性があり、攻撃者はこの脆弱性を利用して、被害者のターゲット ホスト上で任意のコードを実行したり、ホストを制御したりする可能性があります。 (WPS は Bit Browser ユーザーとどのような関係があるのでしょうか? Bit Browser の説明では、この脆弱性はトリガーされやすいため、未知のリンクをクリックした後にハッキングされる可能性があるとのことです。)
しかし、キャッシュされたデータだけに頼っていては、ユーザーの資産を取得することはできません。 「キャッシュされたデータ+パスワード」の組み合わせのみでウォレットを制御できます。ユーザーが日常的に使用する場合、複数のアカウントがパスワードを共有するのが普通です。私たちがよく使用する Web2 Web サイトのパスワードも漏洩することがよくあります。ハッカーは他の Web2 Web サイトのパスワードを取得し、ユーザーの Web3 ウォレットに「資格情報を埋め込む」ことを試みる可能性があります。
髪を引っ張る道具は安全事故を引き起こす、「代替インフラ」は阻止されなければならない
原文 | Odaily Planet Daily
著者 | ルーピー・ルー
先週末、暗号化の世界とはあまり関係がないと思われる製品が暗号化コミュニティの視野に入ってきました。 「マルチオープン」や「グループ管理」に多用されるBitbrowserは大規模なウォレット盗難を引き起こし、被害額は数十万ドルに達しています。
これまでにも、乱数生成器、スマートコントラクトプログラミング言語、iOS/Androidシステムリスクなどが大規模なセキュリティインシデントを引き起こしました。暗号化の世界が成熟し、より複雑になるにつれて、セキュリティ状況はますます危険になり、人々が検出するのが難しいさまざまな場所にリスクが静かに現れます...
ビットブラウザとは何ですか?
暗号化ユーザーの多くにとって、「ビットブラウザ」という製品名は少し聞きなれないかもしれません。
正式名称は「ビットフィンガープリントブラウザ」。公式ウェブサイトの情報によると、 ** この製品の主な機能は、IP、デバイス情報、ブラウザ情報などを含む、各ウィンドウで異なるユーザー追跡情報をシミュレートできる「サンドボックス」機能と同様の環境シミュレーションです。 **
この一連の機能は、主に複数のユーザーをシミュレートして、各「ユーザー」が独立した情報を持てるようにするという 1 つの目的を果たしており、ブラウザーにはグループ制御機能も提供されています。
Bit Browser の市場対象者は、主に外国貿易電子商取引 (Amazon、Shopee など) およびソーシャル メディア運営 (Facebook、Tiktok など) です。公式ウェブサイトのスローガンは、「ビットブラウザで大規模な国境を越えたビジネスを簡単に管理」と述べています。
この製品は暗号通貨業界のユーザー向けに特別に設計されたものではありませんが、その一連の機能はウールリストのニーズを正確に満たしています。そのため、多くの「ヘアブラシ派」がこの商品を使用しています。
盗難の理由についてはさまざまな意見があります。
最近、「Luomao」コミュニティのメンバーのグループが、Lumao ウォレットが盗まれたことを発見しました。自己調査の結果、被害者らは全員、ビットフィンガープリントブラウザの使用が盗難の原因であり、直接の原因は秘密鍵の漏洩だったと確信した。
Bitfingerprint Browser は、できるだけ早くコミュニティで公式に回答しました: WPS For Windows の一部のバージョンには、リモートでコードが実行される脆弱性があり、攻撃者はこの脆弱性を利用して、被害者のターゲット ホスト上で任意のコードを実行したり、ホストを制御したりする可能性があります。 (WPS は Bit Browser ユーザーとどのような関係があるのでしょうか? Bit Browser の説明では、この脆弱性はトリガーされやすいため、未知のリンクをクリックした後にハッキングされる可能性があるとのことです。)
そして、このソフトウェアは暗号化の世界から遠く離れているため、しばらくの間、とんでもない反応を示しました。
最初の反応は仮想通貨コミュニティによってミームとして広く拡散されました
Bit Browser の説明は間違いなくユーザーを納得させることができませんでした。ビットブラウザは8月26日、この事件を受けて「サーバーのキャッシュデータがハッキングされました。「拡張データ同期」機能をオンにしているユーザーのウォレットは盗まれる危険があります。ウォレット資産を転送します。」
セキュリティインシデント、誰のせいですか?
事件当初、盗難の理由についてはさまざまな意見があった。
私たちがよく使う MetaMask プラグインでは、秘密鍵はプレーンテキストで保存されません。したがって、ハッカーはユーザーのローカル キャッシュ データのみに依存し、ユーザーの資産を制御することはできません。
ウォレット移行では、最も一般的な「エクスポート」機能に加えて、利用する人が少ない「バックアップ」機能があります。
![ヘアブラシツールが引き起こす安全事故、「代替インフラ」を警戒せよ] (https://img-cdn.gateio.im/resize-social/moments-7f230462a9-b205ff58fa-dd1a6f-1c6801)
MetaMaskの「バックアップ」機能
MetaMaskが提供する「バックアップ」機能は、秘密鍵・ニーモニックのエクスポート機能とは全く異なるものであることに注意してください。バックアップ後、ユーザーはキーストアとも呼ばれる json ファイルを取得できます。 *(Odaily Planet Daily 注: より簡単に説明すると、秘密キー = ニーモニック = ウォレット コントロール = キーストア + パスワード) *
ローカルにキャッシュされたデータにも同じことが当てはまります。では、ユーザーのウォレットはどのようにして盗まれたのでしょうか?
関係者全員による 2 日間の分析の後、事件の原因が最終的に特定されました。ハッカーはサーバーに侵入してユーザーの拡張キャッシュを取得しました。 **(Odaily Planet Daily 注: このようにして、ハッカーはウォレットのローカル データを持っていますが、ログインできません。) **その後、ハッカーは「共通 URL プラットフォームのパスワード衝突を試みる」ことでウォレットのパスワードを暴力的に解読し、次に、ウォレットの権限を取得します。
サーバー記録によると、拡張キャッシュを保存しているサーバーには8月初旬にダウンロードされた形跡があり(ログ記録は8月2日時点)、江蘇省の1つのアドレスを除いてすべて海外のアドレスである複数のIPをロックしていた。コミュニティメンバーによると、この事件は北京公安局昌平支局によって受理されたという。
**そして、この事件を検討したところ、すべての当事者の責任を明確にするのが難しいことがわかりました。 **
1つ目は、1つ目のリスクポイントであるキャッシュデータの漏洩です。
一部のユーザーは、なぜキャッシュされたデータを暗号化しないのかと疑問に思いました。 Bitbrowserは、「拡張データ」を同期する際にデータの送信が暗号化されると指摘した。しかし、ソフトウェア本体プログラムのEXEファイルがハッカーによってクラックされると、拡張データが入手される可能性があります。
しかし、キャッシュされたデータだけに頼っていては、ユーザーの資産を取得することはできません。 「キャッシュされたデータ+パスワード」の組み合わせのみでウォレットを制御できます。ユーザーが日常的に使用する場合、複数のアカウントがパスワードを共有するのが普通です。私たちがよく使用する Web2 Web サイトのパスワードも漏洩することがよくあります。ハッカーは他の Web2 Web サイトのパスワードを取得し、ユーザーの Web3 ウォレットに「資格情報を埋め込む」ことを試みる可能性があります。
また、ブルートフォースの可能性もあります。ロック解除パスワードの潜在的な組み合わせの数は秘密鍵の組み合わせよりもはるかに少ないため、ロック解除パスワードを総当たり攻撃することは完全に可能です。 (製品に最大失敗試行ロックアウトなどの予防策が導入されていないと仮定します。)
ユーザーの立場から見ると、Bit Browser はプラグインのキャッシュデータを持ち去り、最終的には漏洩を引き起こしており、その責任は逃れられないのは事実です。しかし、ウォレットへのアクセスパスワード保護の失敗は、ネットワークセキュリティ環境の長期にわたる悪化からも発生します。
代替インフラストラクチャ
ソフトウェア開発者にとって、「ビット フィンガープリント ブラウザ」の「ビット」という名前がどこから来たのかはわかりませんが、1 つだけ明らかなことは、この製品は暗号化の世界のために作られたものではなく、たまたま暗号化ユーザーのニーズを満たしているだけであるということです。
システムが複雑になればなるほど、潜在的なリスクポイントが多くなり、単一障害点があれば侵入されるリスクが生じる可能性があります。
暗号化が盛んに行われていた時代を思い出すと、人々は最も基本的なビットコイン ウォレットしか使用していませんでしたが、当時は DeFi やクロスチェーンなどのインタラクティブなリンクはありませんでした。秘密キーを保管している限り、十分に安全です。
しかし現在、さまざまなオフチェーンの補助ツールとオンチェーンの資本プールにより、さらなるリスクが追加されています。 Bitbrowser のような製品が暗号化の世界における新しい代替「インフラストラクチャ」になりつつあります。数多くの「暗号化されていない」セキュリティ リスクが、暗号化された世界を危険にさらしています。
暗号化世界の複雑化に伴い、将来的には人間には検知が難しいツールやソフトウェア、サービスが暗号化世界に含まれる可能性があり、リスクも拡大すると考えられます。
Odaily Planet Daily では、ウォレットのローカル データを他人に渡したり、過剰に認証したりしないように注意していただきたいと思います。さらに、潜在的なリスクの性質のため、電子的手段を使用して秘密キー/ニーモニック フレーズを保存する場合には注意してください。暗号化操作を頻繁に実行するコンピュータには、不明なソフトウェアをインストールしすぎないでください。
関連書籍
「ハッキング事件が頻繁に発生しています。この暗号通貨盗難防止ガイドを受け入れてください。」