多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される

多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される 15

ストーリー by headless 2022年04月23日 13時32分
保存部門より

ブロックチェーンワレットアプリの MetaMask は 18 日、アプリのデータを iCloud にバックアップした場合の危険性について注意喚起した (HackRead の記事、 9to5Mac の記事、 MetaMask のツイート)。

これは Apple を名乗る電話を受けた MetaMask ユーザーが Apple ID パスワードリセットの確認コードを教えてしまい、総額 65 万ドル相当の暗号通貨や NFT を失ったという報告を受けたものだ。

MetaMask によればアプリデータの iCloud バックアップにはパスワードで暗号化された MetaMask 保管庫データが含まれ、パスワードの強度が低い場合はフィッシングで iCloud の認証情報が奪取されると資金を盗まれることになるという。

しかし、ワレットの鍵であり、MetaMask が保存しないと説明しているシードフレーズが実際にはファイルに保存されていたとの指摘もあり、被害にあったユーザーは無断保存を批判している。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索15コメント Log In/Create an Account

シードフレーズを保存していない場合でも (スコア:0)

by Anonymous Coward on 2022年04月23日 13時46分 (#4238106)

トランザクションにアプリ内で署名する仕組み上、秘密鍵を保存していなければ利用できない。
デフォルトでiCloudのバックアップ対象から除外するか、バックアップできないようにすべきではないか。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  秘密鍵をローカルファイルとしてアプリ内に持っている必要はないのでは？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    スマホのキーボードから毎回気合で入力する感じ？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ローカルにファイルで置いとく必要がないって話
      どうせオンラインで使うツールなんだからさ
      - Re:シードフレーズを保存していない場合でも (スコア:1)
        
        by Anonymous Coward on 2022年04月23日 18時40分 (#4238204)
        
        ローカル側に秘密鍵がないの？
        「この口座に俺の金を1万円移動して」と言ってきたクライアントがいたときに、サーバー側はどうやってそれがなりすましではなく本物だと確認するんですか？「そのクライアントだけが知っている情報」を持っていることを確認するとしたら、それって秘密鍵そのものでは。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ローカルに「ファイルで」置くな(TPMとかのセキュリティモジュールに置け)という意味かな? それならいつの間にかiClouldにバックアップされるような事故は発生しないだろう。元コメの人そこまで考えてないと思うけど
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        それがiCloudキーチェーンなんですけどね
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ローカルにファイルで置いとく必要がないって話
        どうせオンラインで使うツールなんだからさ
        秘密鍵をローカルに置くことで、オンラインサービス側の悪意に備えるのでは？
        銀行に金だけじゃなく、印鑑まで預けないでしょ。
        （印鑑も預けると行員が勝手に金を移動しても、それが勝手にやられたと証明しにくい。印鑑を預けなければ銀行側が悪事をできないわけじゃないがね）
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ローカルとオンラインどっちがセキュリティ的に有利かって、ローカルだよね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  秘密鍵は見られてもそれが秘密鍵だと気づきにくいけど（暗号化されてない）シードはひとめでそれがシードだと気づく。
  そしてシードがあれば悪用するハードルが下がるんだよ。
  ＃xmlやjsonでみたいに保存されてたら秘密鍵もいっぱつでわかるけど
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    普通はわかるように保存されると思うよ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  iCloud キーチェーン [apple.com]とiCloud セキュリティコードを知ってて言ってるのだろうか
シードフレーズが保存されてるって (スコア:0)

by Anonymous Coward on 2022年04月23日 20時40分 (#4238268)

どこから出てきた話なんだ？
MetaMaskは"MetaMask vault"とやらがiCloudにバックアップされるとは言ってるが、シードフレーズとは言ってない。
今のところユーザーの推測でしかないんじゃないか。
UserDefaultsとして保存していたのかキーチェインとして保存していたのかすら分からない。
- Re:シードフレーズが保存されてるって (スコア:1)
  
  by Anonymous Coward on 2022年04月23日 23時58分 (#4238329)
  
  秘密鍵が保存されているというのはシードが保存されているというのと同じ。
  秘密鍵はシードフレーズに変換できるし、シードフレーズは秘密鍵に変換できるから。
  問題は秘密鍵が保存されているかどうかだけど、ウォレットにアクセスするにはMetamask独自パスワードだけあればいいから、これは秘密鍵がローカル保存されてることを示してるし、＝シードが保存されているということになる。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    だからといって秘密鍵のことをわざわざシードフレーズと呼ぶのはおかしくない？あくまでそれらは別物なんだから
    MetaMaskがウォレットにアクセスするたびシードフレーズから秘密鍵を計算するようなおかしな実装ならともかく
    ふつう秘密鍵はPINやらパスワードで保護されてHSMに格納されているものだし、運用上もシードフレーズとイコールかは相当疑問

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される 15

多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される More ログイン

シードフレーズを保存していない場合でも (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:シードフレーズを保存していない場合でも (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

シードフレーズが保存されてるって (スコア:0)

Re:シードフレーズが保存されてるって (スコア:1)

Re: (スコア:0)

スラド