パスワードを忘れた? アカウント作成
15634162 story
暗号

多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される 15

ストーリー by headless
保存 部門より
ブロックチェーンワレットアプリの MetaMask は 18 日、アプリのデータを iCloud にバックアップした場合の危険性について注意喚起した (HackRead の記事9to5Mac の記事MetaMask のツイート)。

これは Apple を名乗る電話を受けた MetaMask ユーザーが Apple ID パスワードリセットの確認コードを教えてしまい、総額 65 万ドル相当の暗号通貨や NFT を失ったという報告を受けたものだ。

MetaMask によればアプリデータの iCloud バックアップにはパスワードで暗号化された MetaMask 保管庫データが含まれ、パスワードの強度が低い場合はフィッシングで iCloud の認証情報が奪取されると資金を盗まれることになるという。

しかし、ワレットの鍵であり、MetaMask が保存しないと説明しているシードフレーズが実際にはファイルに保存されていたとの指摘もあり、被害にあったユーザーは無断保存を批判している。
  • by Anonymous Coward on 2022年04月23日 13時46分 (#4238106)

    トランザクションにアプリ内で署名する仕組み上、秘密鍵を保存していなければ利用できない。
    デフォルトでiCloudのバックアップ対象から除外するか、バックアップできないようにすべきではないか。

    ここに返信
    • by Anonymous Coward

      秘密鍵をローカルファイルとしてアプリ内に持っている必要はないのでは?

      • by Anonymous Coward

        スマホのキーボードから毎回気合で入力する感じ?

        • by Anonymous Coward

          ローカルにファイルで置いとく必要がないって話
          どうせオンラインで使うツールなんだからさ

          • by Anonymous Coward on 2022年04月23日 18時40分 (#4238204)

            ローカル側に秘密鍵がないの?

            「この口座に俺の金を1万円移動して」と言ってきたクライアントがいたときに、サーバー側はどうやってそれがなりすましではなく本物だと確認するんですか?「そのクライアントだけが知っている情報」を持っていることを確認するとしたら、それって秘密鍵そのものでは。

            • by Anonymous Coward

              ローカルに「ファイルで」置くな(TPMとかのセキュリティモジュールに置け)という意味かな? それならいつの間にかiClouldにバックアップされるような事故は発生しないだろう。元コメの人そこまで考えてないと思うけど

              • by Anonymous Coward

                それがiCloudキーチェーンなんですけどね

          • by Anonymous Coward

            ローカルにファイルで置いとく必要がないって話
            どうせオンラインで使うツールなんだからさ

            秘密鍵をローカルに置くことで、オンラインサービス側の悪意に備えるのでは?

            銀行に金だけじゃなく、印鑑まで預けないでしょ。
            (印鑑も預けると行員が勝手に金を移動しても、それが勝手にやられたと証明しにくい。印鑑を預けなければ銀行側が悪事をできないわけじゃないがね)

          • by Anonymous Coward

            ローカルとオンラインどっちがセキュリティ的に有利かって、ローカルだよね。

    • by Anonymous Coward

      秘密鍵は見られてもそれが秘密鍵だと気づきにくいけど(暗号化されてない)シードはひとめでそれがシードだと気づく。
      そしてシードがあれば悪用するハードルが下がるんだよ。

      #xmlやjsonでみたいに保存されてたら秘密鍵もいっぱつでわかるけど

      • by Anonymous Coward

        普通はわかるように保存されると思うよ

    • by Anonymous Coward

      iCloud キーチェーン [apple.com]とiCloud セキュリティコードを知ってて言ってるのだろうか

  • by Anonymous Coward on 2022年04月23日 20時40分 (#4238268)

    どこから出てきた話なんだ?
    MetaMaskは"MetaMask vault"とやらがiCloudにバックアップされるとは言ってるが、シードフレーズとは言ってない。
    今のところユーザーの推測でしかないんじゃないか。
    UserDefaultsとして保存していたのかキーチェインとして保存していたのかすら分からない。

    ここに返信
    • by Anonymous Coward on 2022年04月23日 23時58分 (#4238329)

      秘密鍵が保存されているというのはシードが保存されているというのと同じ。
      秘密鍵はシードフレーズに変換できるし、シードフレーズは秘密鍵に変換できるから。

      問題は秘密鍵が保存されているかどうかだけど、ウォレットにアクセスするにはMetamask独自パスワードだけあればいいから、これは秘密鍵がローカル保存されてることを示してるし、=シードが保存されているということになる。

      • by Anonymous Coward

        だからといって秘密鍵のことをわざわざシードフレーズと呼ぶのはおかしくない? あくまでそれらは別物なんだから
        MetaMaskがウォレットにアクセスするたびシードフレーズから秘密鍵を計算するようなおかしな実装ならともかく
        ふつう秘密鍵はPINやらパスワードで保護されてHSMに格納されているものだし、運用上もシードフレーズとイコールかは相当疑問

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...