仮想通貨のあそび場

ビットコインやMoneroを中心に、クラウドマイニング・ローカルマイニングをやってます。

ウォレットサービスJaxxの脆弱性による盗難被害報告

f:id:aftercider:20170613183816p:plain

暗号通貨のウォレットサービスJaxxで、脆弱性を突いた盗難の報告が上がっているようですね。

http://cryptocurrencymagazine.com/users-report-losing-400000-due-to-jaxx-wallet-vulnerability

ビットコインやイーサリアム、DASH、REPなど多くの通貨に対応するウォレットJaxxにて$4000,000ドル相当の暗号通貨が盗まれたという報告が上がっている。 

ちょうどこの前、Moneroのコミュニティのreddit上で、こういう投稿もありました。

https://www.altcointrading.net/jaxx-vulnerability
https://vxlabs.com/2017/06/10/extracting-the-jaxx-12-word-wallet-backup-phrase/

Even when your Jaxx has a security PIN configured, anyone with 20 seconds of (network) access to your PC can extract your 12 word backup phrase and copy it down.
JaxxにセキュリティPINが設定されている場合でも、PCに20秒間(ネットワークで)アクセスできる人は、だれでも12語のバックアップフレーズを抽出してコピーできます。

Jaxx does not have to be running for this to happen.
これはJaxxを実行していなくても実行することができます。

With the 12 word backup phrase, they can later restore your wallet, including all of your private keys, on their own computers, and then proceed to transfer away all of your cryptocurrency.
12語の復元フレーズがあれば、自分の秘密鍵を含む自分のウォレットを復元してから、すべての暗号通貨を転送することができるようになってしまいます。

The main problem is that the Jaxx software encrypts the mnemonic using a hard-coded encryption key, instead of making use of a strong user-supplied password. (As Daira Hopwood points out in the comments, using the PIN would not be sufficient.)
問題は、Jaxxが強力なユーザーが作成したパスワードではなく、ハードコードされた暗号化鍵を使用してニーモニックを暗号化することです。 (Daira Hopwoodが指摘しているように、PINをだけでは十分ではありません)

This means we can easily read and decrypt the full recovery phrase from local storage using sqlite3 and some straight-forward code.
これは、sqlite3(データベース)といくつかの簡単なプログラムを使用して、ローカルストレージから完全な復元フレーズを簡単に読み込み、解読できることを意味します。

これが今回報告に上がっている盗難と直接関係していることなのかは不明ですが、事態や真偽がクリアになるまではJaxxウォレットを使うのは控えたほうがいいかなと感じますね。

先日暗号通貨に関する勉強会に参加した際にも、ウォレットの秘密鍵/復元フレーズの取り扱いや保管は本当に気をつけないといけないなぁと感じたところでした。

いまのところあんまり高額の暗号通貨を持っているわけではないのでコールドウォレットなどは持っていなかったですが、これを機に作ってみようかと思います。