暗号通貨のJavaScript依存関係を標的とした大規模なハッキングは、甚大な被害をもたらす可能性があったが、今回は失敗に終わった。盗まれた金額はわずか500ドルだった。
JavaScript 暗号通貨の依存関係を標的としたハッキングは失敗に終わる
月曜日の夜、私たちは、大規模な悪用により多くの暗号通貨ウォレットが危険にさらされる可能性のある、非常に大きな損害をもたらす可能性のある脆弱性について警告しました。簡単に言えば、この攻撃は JavaScript パッケージマネージャー NPM 上の開発者のアカウントを標的にしたものでした。
この開発者は多くのフォロワーを抱えており、10 億回以上の不正プログラムのダウンロードが行われたとされており、理論的には、攻撃者は、これらのパッケージを使用するアプリケーションのアドレスを偽造することで資金を横領することが可能でした。
とはいえ、この事件は、結局のところ、恐怖よりも被害の方が大きかったようです。Arkham のデータによると、盗まれた金額はわずか 500 ドルだったからです。
X で、Ledger の技術責任者である Charles Guillemet 氏は、攻撃者のミスによってこの操作がすぐに発見されたと説明しています。しかし、彼は、この種の脅威を軽視してはならないと警告しています。
とはいえ、これは明確な警告です。資金がソフトウェアウォレットや取引プラットフォームに保管されている場合、たった1回のコード実行で全財産を失う危険性があるということです。サプライチェーンの侵害は、依然としてマルウェアを拡散する強力な手段であり、より標的を絞った攻撃も出現しています。ハードウェアウォレットは、こうした脅威に耐えるよう設計されています。クリアシグネチャなどの機能により、何が起こっているかを正確に確認でき、取引の検証により、手遅れになる前に不審な活動を報告することができます。差し迫った危険は過ぎ去ったかもしれませんが、脅威は依然として存在しています。
一方、MetaMask や OKX Wallet を含む複数のウォレット開発者は、自社アプリケーションは引き続き安全であると主張しています。
