「Ill Bloom」脆弱性、露出したBitcoin(BTC)アドレスから約500万ドル流出
BTC/USDT
$11,352,775,733.98
$63,999.00 / $62,569.37
差額: $1,429.63 (2.28%)
+0.0035%
ロングが支払い
AI要約AI
- 「Ill Bloom」脆弱性により5月27日以降、影響を受けた口座から約500万ドルが流出したことがオンチェーンデータで確認された。
- 5月27日の掃討では脆弱と判定された2,114件のうち431件のウォレットから約310万ドルが抜き取られ、日曜の第2波でさらに200万ドルが移動した。
- 脆弱なウォレットは最古で2018年までさかのぼり、Bitcoin、Ethereum、Polygon、Rootstock、Tron、Solanaの6チェーンに及ぶ。
- COINOTAGの集計データでは恐怖・強欲指数は24、ビットコイン・ドミナンスは69.3%、時価総額合計は約1兆8,200億ドルとなっている。
この要約はAIによって生成され、AIによるレビューを経て、COINOTAGの編集監督のもとで公開されています。
暗号資産ニュース
「Ill Bloom(イル・ブルーム)」と名付けられた新たな脆弱性により、数千のセルフカストディ(自己管理型)ウォレットが盗難の危険にさらされている。5月27日以降、影響を受けた口座からすでに約500万ドルが移動したことが確認された。セキュリティ企業Coinspectが日曜に最初の調査結果を公開し、この不具合はリカバリーフレーズ生成時の乱数の弱さに起因し、Bitcoin、Ethereum、Polygon、Rootstock、Tron、Solanaの6チェーン上で構築されたウォレットに及ぶと警告した。同社は、承認していない資金移動を目にした暗号資産ウォレット利用者は、このバグを有力な原因と見なすべきだとし、自分のアドレスが露出対象に含まれるかを確認できる検査ツールを併せて公開した。
問題の根源は、欠陥のある乱数生成器にある。ウォレットがシードフレーズを作成する際には、生成される秘密鍵が予測不可能になるよう、十分に強いエントロピー(乱数の質)に依拠しなければならない。オンチェーンの証跡を精査したCoinspectの見立てでは、一部のソフトウェアウォレットが安全性の低い擬似乱数生成器を用いており、鍵の取り得る範囲が狭まった結果、そのパターンを把握した攻撃者に鍵を推測されやすくなっていたという。残高が静かに流出している理由は、フィッシングの誘導でもスマートコントラクトの悪用でもなく、まさにこの仕組みにある。同社は、いまだ脆弱な保有者へのさらなる攻撃を助長しないため、現段階では実際に悪用されている手口の技術的詳細を意図的に伏せているとした。
精査済みのあるアドレス群に紐づくオンチェーンデータは、被害がいかに集中していたかを物語る。5月27日の一度の掃討で、攻撃者は脆弱と判定された2,114件のうち431件のウォレットから約310万ドルを抜き取った。続く日曜の第2波では、露出した口座からさらに200万ドルが移動し、確認済みの累計はおよそ500万ドルに達した。Coinspectは、分析がまだすべてのチェーンや同じ弱いパターンで生成された全アドレスを網羅していない可能性があるため、実際の被害額はより大きいとみられると強調した。ネットワークをまたいだ分布は、単一ブロックチェーン上の孤立した事案ではなく、共通のコード上の欠陥を示唆している。
時間軸も中心的な懸念だ。同社によれば、脆弱なウォレットは最も古いもので2018年までさかのぼる一方、直近の数週間にも露出したアドレスが新たに生成され続けていた。この長い裾野は、欠陥が単一のアプリ内に収まっており、パッチを当てて忘れればよいという性質のものではないことを意味する。むしろ弱い生成パターンは、複数年にわたって複数のコードベースへ伝播してきたとみられる。主要ネットワークの利用者にとってもアルトコインチェーンの利用者にとっても、実務上の教訓は明確だ。数年前にニッチなアプリで作成したウォレットが、今月作ったものと同じ潜在的な弱さを抱えている恐れがある。
被害範囲についてCoinspectは一定の安心材料も示した。現時点の証拠では、ハードウェアウォレットでシードを生成した利用者は影響を受けておらず、広く使われている大半のソフトウェアウォレットも安全とみられる。最も露出の可能性が高いのは、知名度の低いモバイル向けソフトウェアウォレット内でリカバリーフレーズを作成した保有者だ。この線引きはリスクの優先順位付けに重要となる。ハードウェアベースのコールドストレージや主流アプリは主たる被害範囲の外にある一方、投機的トークンやDeFiポジションの保有に使われがちな無名のモバイルクライアントは、公開ツールでの即時チェックと、可能であれば新規生成した鍵への移行が求められる。
他の研究者もこの警告の裏付けに動いている。セキュリティ企業SlowMistは、Ill Bloomの乱数脆弱性に関する警告を注視していると認め、現行のセキュリティ基準以前に作られた可能性のある古いウォレットアドレスを点検するよう利用者に促した。この並行監視は、本件が単発の盗難ではなく、エコシステム全体のエントロピー障害として扱われていることを浮き彫りにする。この欠陥はセルフカストディの中核にある暗号学的前提——シードフレーズは事実上推測不可能であるという前提——を揺るがすため、業界の対応は特定ベンダーの修正ではなく、検出と移行に軸足を置いている。
当編集部の見立てでは、Ill Bloomはセンチメントが脆い局面に突き刺さった。COINOTAGの集計市場データによると、恐怖・強欲指数(Fear & Greed Index)は100点満点中24と極度の恐怖(Extreme Fear)の領域にあり、ビットコイン・ドミナンスは69.3%、暗号資産の時価総額合計は約1兆8,200億ドルとなっている。適切に生成されたシードは総当たりで破れないという根源的な約束を突き崩すセルフカストディへの信頼ショックは、6チェーンのウォレットを同時に襲うため、通常のプロトコルハッキングより深く傷を残す。確認済みの流出額500万ドルはドル建てでは控えめだが、未解決の問いは被害範囲そのものだ。Coinspectの分析が影響を受けた全ネットワークに及ぶまで、無名のモバイルクライアントの保有者は露出を前提に、待たずに検証すべきである。
COINOTAGは金融アドバイザリーサービスを提供していません。このコンテンツは情報提供のみを目的としており、投資アドバイスとして解釈されるべきではありません。暗号資産投資には高いリスクが伴います。
関連タグ
AIによって生成され、AIによるレビューを経て、COINOTAGの編集監督のもとで公開されました。
