長年忘れられていた休眠状態のイーサリアムウォレットが何者かによって空にされ、その原因は数年前にさかのぼる可能性がある
数年間手つかずのままだったイーサリアムウォレット数百個が、同一のタグ付きアドレスに向けて流出し、古い鍵の漏洩が今週最大の暗号資産セキュリティ警告となった。
4月30日、WazzCryptoがXにてメインネットウォレットに影響する本件をフラグし、その警告は瞬く間に拡散した。被害を受けたアカウントが、新たに仕掛けられたホットウォレットには見えなかったためだ。それらは静かな履歴を持つ古いウォレットであり、一部はイーサリアムの初期時代の資産やツールに紐付けられていた。
260 ETH超、約60万ドル相当が、数百の休眠ウォレットから流出した。500以上のウォレットが影響を受けており、損失総額は約80万ドルに上り、多くのウォレットが4〜8年間放置されていた。関連するEtherscanのアドレスはFake_Phishing2831105とラベル付けされており、596件のトランザクションが確認され、4月30日前後にTHORChain Router v4.1.1へ324.741 ETHが移動した記録がある。
これらに共通する事実がより重要だ。長期間休眠していたウォレットが共通の宛先へ移動されており、侵害経路は依然として解明されていない。
この未解明の攻撃ベクターが、DeFiハックの急増を受けて今週最大の警告となっている。プロトコルのエクスプロイトであれば、通常は調査担当者がコントラクト、ファンクションコール、または特権トランザクションを調査できる。
ここでの核心的な問いはウォレット層にある。古いシードフレーズが入手されたのか、弱い乱数生成の鍵が解読されたのか、漏洩した秘密鍵の素材が使用されたのか、かつて鍵を扱っていたツールが悪用されたのか、それとも未だ表面化していない別の経路が存在するのか。
公開の議論では、レガシーウォレットツールのエントロピー不足、ニーモニックの漏洩、トレーディングボットの鍵管理、LastPass時代のシード保存といった仮説が浮上している。被害を受けたユーザーの一人が、LastPass説を個人的に提起した。
ユーザーへの実践的なアドバイスは限られているが、緊急性は高い。放置していても秘密鍵のリスクは軽減されない。価値を持つウォレットは、鍵の全履歴——シードフレーズ、生成に使用したデバイス、接触したソフトウェア、そしてその秘密が保存された可能性のある全ての場所——に依存している。
ユーザーへの対応としては、高価値の古いウォレットを棚卸しし、信頼できるハードウェアまたは最新のウォレットソフトウェアで新鮮な鍵素材を生成した後にのみ資金を移動し、古いシードをチェッカー、スクリプト、または見慣れない復元ツールに入力しないことが考えられる。承認の取り消しはWasabiのユーザー警告を含むプロトコルへの露出には有効だが、ウォレットへの直接的な流出はトークン承認よりも先に鍵のセキュリティを指し示している。
4月は攻撃対象領域を拡大した
このウォレットクラスターは、既に高水準にあった4月の暗号資産エクスプロイト集計の只中に発生した。DefiLlamaに関連するレポートでは、4月は約28〜30件のインシデントと6億2500万ドル超の盗難資金と推計された。5月1日時点で、DefiLlamaのライブAPIは4月の28件のインシデントで計635,241,950ドルを記録している。
5月1日のマーケットスレッドが圧力点を捉えた。今週のウォレット流出、Wasabi Protocolの管理鍵エクスプロイト、そして4月のより大規模なDeFi損失は、いずれも通常のユーザーがほとんど確認しない攻撃対象領域を標的にしていた。この月全体を通じた共通点は、原因の帰属よりもアーキテクチャ上のものだ。
管理パスが攻撃パスになった
Wasabi Protocolは、最近のプロトコルにおける最も明確な事例を提供している。4月30日のエクスプロイトでは、攻撃者がデプロイヤー/管理者権限を取得し、攻撃者が制御するコントラクトにADMIN_ROLEを付与し、UUPSプロキシアップグレードを使用してイーサリアム、Base、Blast全体のボールトとプールから約450万〜550万ドルが流出したと報告されている。攻撃が展開される中、早期のセキュリティアラートが管理アップグレードパターンにフラグを立てた。
報告されたメカニズムは、鍵管理をインシデントの中心に置いている。アップグレード可能性は通常のメンテナンスインフラとなり得る。しかし、アップグレード権限が集中すると、そのメンテナンスパスが高価値のターゲットに変わる。一人のデプロイヤーまたは特権アカウントがチェーン全体の実装ロジックを変更できる場合、その権限が侵害された瞬間に、監査済みコントラクトの境界が消滅する可能性がある。
これが多くのDeFiインターフェースの内側に隠れたユーザー向けの問題だ。プロトコルはオープンなコントラクト、公開フロントエンド、そして分散化の言語を提示しながら、重要なアップグレード権限は依然として少数の運用鍵に集中している場合がある。
署名者と検証者が最大の損失をもたらした
Driftは同じ制御問題を署名者のワークフローに持ち込んだ。Chainalysisは、ソーシャルエンジニアリング、永続的なnonceトランザクション、偽の担保、オラクル操作、そしてゼロタイムロックの2-of-5セキュリティカウンシル移行について説明した。Blockaidは損失を約2億8500万ドルと推定し、トランザクションシミュレーションとより厳格な共同署名ポリシーが結果を変えられたと主張した。
Driftのケースがここで重要なのは、経路が単純なパブリック関数のバグに依存していなかったためだ。有効な署名と迅速なガバナンス機構が敵対的な移行に向けられ得るワークフローに依存していた。署名者プロセスが攻撃対象領域となったのだ。
KelpDAOはストレステストをクロスチェーン検証に持ち込んだ。インシデント声明では、rsETHルートがLayerZero Labsを唯一のDVN検証者として使用するブリッジ構成が説明された。フォレンジックレビューでは、侵害されたRPCノードとDDoSの圧力が単一点の検証パスに偽のデータを送り込んでいたことが描写された。
Chainalysisによると、その結果として116,500 rsETH(約2億9200万ドル相当)が、存在しないバーンに対して解放された。ブリッジが誤った前提を受け入れる一方で、トークンコントラクトは無傷のままであり得た。これが、ブリッジされた資産が貸し借り市場や流動性プールの中に存在する場合に、検証者の失敗が市場構造上の問題になり得る理由だ。
AIはスピードの議論に属する
ここでは、因果関係とは別にコンテキストとして、Project Glasswingに特別な言及が必要だと思う。AnthropicはClaude Mythos Previewが数千件の高重大度ソフトウェア脆弱性を発見したと述べており、AIが脆弱性発見を圧縮できることを示している。これは防御者のハードルを上げるが、これらの暗号資産インシデントの因果記録は、鍵、署名者、管理者権限、ブリッジ検証、RPC依存関係、そして未解決のウォレット露出を指し示している。
セキュリティ上の影響は依然として深刻だ。より速い発見は、攻撃者と防御者により多くの並行した領域を与える。また、チームが手動でレビューするよりも速く、休眠中の秘密、特権鍵、単一検証者パスをテストできるため、古い運用上のショートカットをより高コストにする。
修復リストは運用上のものだ
4月から導かれる管理策は、コードベースの上と周囲に位置する。
| インシデント | 隠れた制御点 | 障害モード | 実践的な管理策 |
|---|---|---|---|
| 休眠イーサリアムウォレット | 古いウォレット素材 | 攻撃ベクターが未解決のまま、長期休眠ウォレットからタグ付きアドレスへ資金が移動された | 価値ある休眠資金の新鮮な鍵生成、慎重な移行、および未知のツールへのシード入力禁止 |
| Wasabi | 管理者およびアップグレード権限 | 特権ロールの付与とUUPSアップグレードがボールトとプールの流出を可能にした | 鍵のローテーション、より強固な閾値、制限された管理者権限、タイムロック、およびアップグレードアクションの独立した監視 |
| Drift | セキュリティカウンシルの署名者ワークフロー | 事前署名された永続的なnonceトランザクションとゼロ遅延ガバナンスが迅速な管理者乗っ取りを可能にした | より高い閾値、遅延ウィンドウ、トランザクションシミュレーション、およびポリシーで強制された共同署名 |
| KelpDAO | ブリッジ検証パス | RPC汚染と1-of-1 DVNルートが偽のクロスチェーンメッセージの通過を許した | マルチDVN検証、クロスチェーン不変条件の監視、および同一検証者パス外での独立したチェック |
プロトコルにとっての優先事項は、単一の権限が一度に実行できる量を削減することだ。それは管理者操作へのタイムロック、より強固で安定した署名者閾値、監視された特権トランザクションキュー、パラメータ変更への明示的な制限、そして人間が承認する前にトランザクション効果をシミュレートする共同署名システムを意味する。
ブリッジにとっての優先事項は、独立した検証と不変条件のチェックだ。クロスチェーンメッセージは、それが表すと主張する経済的事実に対してテストされるべきだ。rsETHが一方から離れるなら、宛先側が価値を解放する前に、システムは反対側の対応する状態変化を検証するべきだ。その監視は、メッセージに署名する同じパスの外側に存在する必要がある。
ユーザーにとっての修復リストはより小さい。既に信頼しているプロセスを通じて、価値ある古い資金を新鮮な鍵に移動する。そのアクションをプロトコル固有の承認のクリーンアップから分離する。フォレンジック作業が共通のツール、保存パス、または露出源を特定するまで、ウォレット流出の根本原因に関するあらゆる主張を暫定的なものとして扱う。
次のテスト
4月は、一般ユーザーのセキュリティチェックリストが不完全である可能性が高いことを証明した。監査、公開コントラクト、および分散型インターフェースは、集中した管理者権限、弱い署名者手順、脆弱なブリッジ検証、そして古いウォレットの秘密と共存できる。
次の四半期は、分散化の言語よりも証拠を報いるだろう。制約されたアップグレード権限、可視化されたタイムロック、独立した検証者パス、特権アクションのためのトランザクションシミュレーション、規律あるアクセス制御、そして文書化された鍵のローテーションだ。
休眠ウォレットの流出は、同じ問題のユーザー側の不快なバージョンを示している。システムは、古い制御の失敗がバックグラウンドで待機している間、静かに見えることがある。4月のエクスプロイトの波はコードの上のその層を露わにした。次のフェーズは、どのチームが資金が動く前にそれをコアセキュリティとして扱うかを示すだろう。
The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.
関連コンテンツ
PEPEの価格予測:重要な抵抗テストが今後数週間で40%の上昇を引き起こす可能性
INJ価格予測:テクニカルセットアップが$6以上の上昇を示唆、トークンダイナミクスが変化
