秘密鍵

Trust Wallet は X プラットフォームでセキュリティ警告を発表し、ユーザーに対して決してリカバリーフレーズや秘密鍵を要求しないことを指摘しました。このような事例があれば、それは Trust Wallet のものではありません。疑問がある場合は、直ちに取引を中止し、公式チャネルを通じて Trust Wallet に連絡してください。以前、Trust Wallet はブラウザ拡張機能の 2.68 バージョンの脆弱性によりセキュリティ事件が発生し、盗まれた資産の総額は約 850 万ドルに達しました。

OKX CEO Star は X プラットフォームで DeBot のセキュリティ事件に関する投稿を行い、次のように述べました："ウォレットが盗まれるにはいくつかの一般的な状況があり、DEX Bot のような製品の秘密鍵集中化リスクは、関連製品がユーザーの秘密鍵をサーバーにアップロードし、平文または解読可能な形式で保存することに関係しています。一度ハッカーに侵入されると、そのリスクレベルは実際には取引所と同等になります。したがって、このような製品のセキュリティ基準は取引所レベルに達する必要があります。そうでなければ、リスクは非常に高くなります。自己管理ウォレットのコードの脆弱性や主観的な悪意のリスク、ユーザーの端末が攻撃されるかデータが漏洩するリスク、自動化された戦略が秘密鍵の管理に構造的に依存していることです。"Star はさらに、ウォレットのセキュリティの正しい進化の方向性は、秘密鍵の安全性と使いやすさが対立しない関係であると述べました。

慢雾の創設者である余弦は X プラットフォームで投稿し、DeBot イベントを追跡しており、ブロックチェーン上の状況を確認していると述べました。DeBot に関連するユーザーの秘密鍵が盗まれ、ハッカーは現在 25.5 万ドルの資産を得ており、引き続き盗難が続いています。DeBot を使用している場合、秘密鍵が DeBot によって割り当てられていると、この秘密鍵にはリスクがあります。

据 PeckShield 监测，钱包地址 0x1209...e9C と 0xaac6...508 は秘密鍵の漏洩により攻撃を受け、約 230 万ドルの USDT が盗まれました。攻撃者はその後、これらの USDT を 757.6 枚の ETH に換え、TornadoCash を通じて資金洗浄を行いました。

慢雾科技首席情報セキュリティ責任者 23pds が X プラットフォームでコミュニティユーザーのツイートをリツイートし、ある Polymarket のフォロートレーディングボットプログラムの開発者が GitHub コードに悪意のあるコードを隠していることを示しました。プログラムを起動すると、自動的にユーザーの ".env" ファイル（そこにはウォレットの秘密鍵が含まれています）を読み取り、その後、秘密鍵をハッカーのサーバーに送信し、秘密鍵を盗むことになります。このプログラムの作者は繰り返し修正を行い、何度も GitHub にコードを提出し、悪意のあるパッケージを故意に隠しています。23pds は、このような手法に警戒する必要があると述べ、「初めてではなく、最後でもない」と警告しています。

据派盾 PeckShieldAlert 监测，一名巨鲸用户的多重签名钱包因私钥泄露被盗，损失约 2730 万美元。黑客已通过 TornadoCash 洗钱 1260 万美元（折合 4100 枚 ETH），并持有约 200 万美元的流动资产。此外，盗取者还控制了受害者的多签钱包。该钱包在 Aave 平台上持有杠杆多头仓位：存入价值 2500 万美元的 ETH 作为抵押，借出了 1230 万枚 DAI。

BitsLab の共同創設者 Luis_0xyi は X プラットフォームで次のように投稿しました："Windows コンピュータ上で大金を扱う際は Chrome プラグインウォレットの使用に注意してください。BitsLab は最近、数十の主要なプラグインウォレットに共通する脆弱性を発見しました。この脆弱性は、プライベートキーを直接盗むために利用される可能性があります。Coinbase Wallet や Binance Wallet などの主要取引所のプラグインウォレットにもこの問題がありますが、この脆弱性の利用には一定の条件があります。修正後に再度詳細を公開します。"

据链上侦探 ZachXBT 披露，约 23 小时前一名受害者在五个 EVM 链上钱包发生异常转账，总损失约达 110 万美元，疑为私钥泄露所致。攻撃者は迅速にすべての資産をETHに交換し、そのうち330枚のETHをTornado Cashに転送して混合処理を行った。

据慢雾余弦（@evilcos）发文披露，用户 Babur 遭遇价值 2700 万美元的加密资产被盗事件。据分析，被盗资产主要涉及两个地址：Solana 地址 91xu 和以太坊 Safe 多签地址 0xD2，其中最大两笔被盗资产总价值超过 1800 万美元。黑客地址为 71fM（Solana）和 0x4f（以太坊），部分资金已跨链至以太坊网络。据余弦分析，该事件疑似由电脑中毒导致，用户双击运行恶意文件后私钥泄露，包括 Safe 多签的两个签名私钥均可能存储在被感染的电脑上。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードの罠に遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

公式発表によると、バイナンスウォレットは新機能を導入し、ユーザーは同一アカウントで複数の非秘密鍵ウォレットを作成および管理できるようになりました。このアップグレードにより、ユーザーはバイナンスMPC（マルチパーティーコンピューティング）による非秘密鍵の安全保護を維持しながら、より柔軟で効率的なウォレット管理体験を得ることができます。主な機能のハイライトは以下の通りです：複数の非秘密鍵ウォレットのサポート：同一アカウントで最大5つの非秘密鍵ウォレットを作成可能。パーソナライズ管理：各ウォレットの名前とアイコンをカスタマイズし、「マイウォレット」パネルで一元管理。ワンクリック作成：デバイスのパスキーを使用してワンクリックで非秘密鍵ウォレットを作成。ニーモニックフレーズ不要：MPC技術に基づく非秘密鍵の安全保護により、ニーモニックフレーズを保存する必要がありません。

Upbitで約445億ウォン（約3600万ドル）の暗号資産が盗まれた件についてCryptoQuantのCEO、Ki Young Juは本日、Upbitが公表した攻撃方法は「ほぼ普通のハッカーには実行不可能」と指摘しました。Upbitは以前、攻撃者がユーザーのウォレットアドレスのパターンを分析することで「秘密鍵を推測」した可能性があると述べました。Ki Young Juは、この種の攻撃技術の難易度が非常に高いと明言し、もし事実であれば「北朝鮮のLazarusを除いて、他のハッカー組織がこれを実行できるとは疑っています」と述べました。

Michael Saylor は、保有する価値 150 億ドルの超 1.7 万枚の BTC の秘密鍵を破棄すると述べ、「これは私の遺産です」と言いました。

慢雾余弦は X プラットフォームで、GANA が盗まれたのは GANA Payment Stake コントラクトのオーナーの秘密鍵が漏洩したためだと発表しました。その後の攻撃ではいくつかのテクニックが使用されました。例えば、7702 デリゲートの利用により、ちょうど unstake の onlyEOA 判定を回避でき、関連するレートと手数料を変更することで、数百枚の USDT をステークするだけで、数十万枚の USDT をアンステークする攻撃結果を実現しました。

最近広まっている「OKX Walletにはバックドアがある」という不実な主張について、OKXのCEOであるStarはXプラットフォームで次のように投稿しました。「OKX Walletの秘密鍵モジュールおよびすべての関連スマートコントラクトは完全にオープンソースであり、業界の多くの企業（競合他社を含む）が私たちのオープンソースコードを使用しています。これは、業界の透明性と安全性を推進するための私たちの長期的なコミットメントです。非秘密鍵モジュールについては、商業ソフトウェアに属するため、現時点ではオープンソースにはしません。ユーザーは自身のニーズや好みに応じて、OKX Walletを使用するかどうか自由に選択できます。」彼はさらに、OKX Walletが業界で最初のMPC無秘密鍵ウォレットサービスプロバイダーの一つであることを指摘しました。初期バージョンのMPC製品は、市場での受け入れ、ユーザー体験、DAppサポートなどの面で限界があったため、旧版MPCウォレットを全面的に終了し、より先進的で優れた体験を提供する新世代の無秘密鍵ウォレット「CeDeFi Wallet」を導入することを決定しました。皆さんの体験とフィードバックをお待ちしています。

ChainCatcher のメッセージ、CoinMarketCap はソーシャルメディアで警告を発表し、詐欺師がそのカスタマーサービスのスタッフを装ってユーザーに連絡し、秘密鍵やリカバリーフレーズを盗もうとしていると述べています。このプラットフォームは、CMC に電話番号はなく、絶対にユーザーに対して電話をかけることはないと強調しています。

ChainCatcher のメッセージ、imToken が安全声明を発表し、最近のアメリカの法執行ニュースによって引き起こされた「非管理型ウォレットの秘密鍵のランダム性」に関する懸念を明確にしました。公式は、imToken ソフトウェアウォレットと imKey ハードウェアウォレットのユーザーは影響を受けないと述べています。声明では、imToken ソフトウェアウォレットは、iOS および Android システムのローカルで安全な乱数源を使用して秘密鍵を生成し、コアコードライブラリ TokenCore は 2018 年以来オープンソースで監査可能であり、秘密鍵はネットワークを介して送信されることはありません。imKey ハードウェアウォレットは、安全チップ内で真の乱数生成器（TRNG）を使用して、ニーモニックフレーズと秘密鍵を生成します。imToken は、両製品が非管理型ウォレットであり、ユーザーの秘密鍵やニーモニックフレーズを保存しないことを強調し、ユーザーにニーモニックフレーズの適切なバックアップを促しています。

ChainCatcher のメッセージ、暗号 KOL @chaowxyz が Lubian の 12 万枚の BTC がどのように盗まれたかを分析した投稿。簡単に言うと、ビットコインの秘密鍵は 256 ビットの 0 と 1 の組み合わせです。秘密鍵を生成するのは簡単で、コインを 256 回投げて、表と裏を記録します。表が 0、裏が 1 です。これが一つの秘密鍵です。もし二人が投げた結果が完全に同じであれば、彼らは同じ鍵を得ることになります。後の人は前の人の財布を直接開けることができます。しかし、この「運が良い」確率はほぼゼロです。なぜなら、2 の 256 乗という可能性は、宇宙の原子の総数よりも多いからです。重複する確率は極めて低いです。秘密鍵の安全性は運からではなく、数学から来ています。しかし、その背後には一つの前提があります：必ず真のランダムでなければなりません。では、12 万枚の BTC はどうやって失われたのでしょうか。問題は、LuBian マイニングプールが秘密鍵を生成するために使用した乱数生成器にあります------その公平にコインを投げるはずの機械が壊れてしまったのです。それはほぼ無限の可能性の中からランダムに選択するのではなく、まるで詰まった機械のように、常に非常に小さく、規則的な範囲内で番号を選んでいました。ハッカーはこの機械の故障のパターンを発見し、簡単に生成可能な秘密鍵をコピーし、対応する財布をすべて空にしました。

ChainCatcher のメッセージによると、市場の情報では、研究チームが 8 月 4 日に更新した技術報告が、2020 年 12 月に突如移転された約 12 万枚のビットコイン（当時の価値は約 37 億ドル、現在は約 150 億ドル）事件の真相を明らかにしました。研究によると、このビットコインに関連するウォレットは中国のマイニングプール Lubian.com によって生成され、その秘密鍵は真のランダムではなく、欠陥のある擬似乱数生成器（PRNG）によって生成されており、秘密鍵が推測可能であることが判明しました。報告書は、アメリカの法執行機関が最近関連する秘密鍵を把握したが、それはハッキングやシステムへの侵入によるものではなく、これらのウォレット生成メカニズムにシステム的な脆弱性が存在することを確認したためであると指摘しています。