暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

GoPlus 緊急警報:EngageLab SDK 高リスクの脆弱性、3000 万の暗号ウォレットの秘密鍵が漏洩する恐れ

MarketWhisper
セキュリティインシデント

EngageLab漏洞

ブロックチェーン・セキュリティ・プラットフォームのGoPlusは4月10日に緊急アラートを発表し、Androidのプッシュ通知に広く利用されているEngageLab SDKに重大なセキュリティ脆弱性があると指摘した。この脆弱性は5,000万以上のAndroidユーザーに影響し、そのうち約3,000万が暗号資産ウォレットのユーザーだ。攻撃者は被害端末に、正規のアプリに偽装したマルウェアを導入し、暗号資産ウォレットの秘密鍵とログイン認証情報を窃取できる。

脆弱性の技術的な原理:サイレント実行のクロスアプリ攻撃チェーン

EngageLab SDK高危漏洞 (出典:GoPlus)

今回の脆弱性の中核となる欠陥は、EngageLab SDKがAndroidシステムのIntent通信メカニズムを処理する際に、十分な発信元検証を行っていない点にある。IntentはAndroidアプリ間で指示を受け渡す正当な仕組みだが、EngageLab SDKの実装では、未認可の発信元からの指示が通常の検証プロセスを回避してしまい、標的アプリが機微な操作を実行してしまう。

完全な攻撃チェーンの3ステップ

悪意のあるアプリの埋め込み:攻撃者はマルウェアを正規のAppとして偽装し、被害者に同一のAndroid端末へインストールさせる

悪意のあるIntentの注入:悪意のあるアプリが、同一端末上でEngageLab SDKが統合された暗号資産ウォレットまたは金融アプリに対して、入念に細工された悪意のあるIntentを送信する

権限のない操作の実行:標的アプリがIntentを受信すると、ユーザーに知られることなく、ウォレット秘密鍵の窃取、ログイン認証情報、その他の機微なデータを含む未認可操作を実行する

この攻撃チェーンの最大の危険性は、そのサイレント性にある。被害者は能動的な操作を行う必要がなく、端末上に悪意のあるアプリと、脆弱性のあるバージョンのEngageLab SDKを含むアプリが同時に存在するだけで、攻撃がバックグラウンドで完了する。

影響規模:暗号ユーザーが不可逆の資産損失リスクに直面

EngageLab SDKは、広く展開されたプッシュ通知の基盤コンポーネントとして、数千のAndroidアプリに統合されており、今回の脆弱性の影響範囲は5,000万台規模に達している。そのうち暗号資産ウォレットのユーザーは約3,000万だ。

暗号資産ウォレットの秘密鍵が漏えいすれば、攻撃者は被害者のオンチェーン資産を完全に掌握できる。そして、ブロックチェーン取引の不可逆性により、この種の損失はほぼ取り戻せず、一般的なアプリのデータ漏えい事件を大きく上回るリスクとなる。

緊急対応策:開発者とユーザーの即時アクション・リスト

セグメント別セキュリティ推奨

  1. アプリ開発者とベンダー

・ 製品にEngageLab SDKが統合されているかを直ちに確認し、現在のバージョンが4.5.5未満かどうかを確認する

・ EngageLab SDK 4.5.5以上の公式の修正バージョンへアップグレードする(EngageLab公式ドキュメントを参照)

・ 更新版を再リリースし、ユーザーにできるだけ早くアップデートを完了するよう通知する

  1. 一般的なAndroidユーザー

・ 直ちにGoogle Playにアクセスしてすべてのアプリを更新し、暗号資産ウォレットおよび金融系のアプリを優先して対応する

・ 出所不明または非公式チャネルからダウンロードしたアプリに警戒し、必要に応じて直ちに削除する

・ 秘密鍵が漏えいした疑いがある場合は、セキュア端末上で新しいウォレットを作成し、資産を移し替えて、旧アドレスを永久に無効化する

よくある質問

EngageLab SDKとは何で、なぜ暗号資産ウォレットに広く統合されているのか?

EngageLab SDKは、Androidのプッシュ通知機能を提供するサードパーティのソフトウェアスイートで、導入の手軽さから大量のアプリで採用されている。プッシュ通知はほとんどすべてのモバイルアプリの標準機能であり、そのためEngageLab SDKは暗号資産ウォレットや金融アプリに広く存在し、今回の脆弱性の影響規模が5,000万ユーザーにまで達することにつながった。

自分の端末がこの脆弱性の影響を受けているかどうかをどう確認すればよいか?

Android端末に暗号資産ウォレットまたは金融アプリがインストールされていて、まだ最新バージョンに更新されていない場合、影響を受けるリスクがある。直ちにGoogle Playストアで、すべてのアプリを更新することを推奨する。開発者はアプリ内のSDKのバージョン番号を確認することで、4.5.5未満のバージョンのEngageLab SDKを使用しているかどうかを確認できる。

秘密鍵が漏えいしてしまった場合、緊急時はどう対処すべきか?

感染していないセキュア端末上で新しいウォレットアドレスを直ちに作成し、元のウォレットのすべての資産を新しいアドレスへ移し替え、元のアドレスを永久に無効化する。関連するすべてのプラットフォームでログインパスワードを同期して変更し、口座に二要素認証を有効化して、今後さらに侵害されるリスクを下げるべきだ。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

Sui上のScallop Protocolがフラッシュローン攻撃を受けた、$142K オラクル操作で資金を出し尽くし

セキュリティインシデントオンチェーンデータ

ゲートニュース記事、4月26日 — Suiブロックチェーン上の貸付プラットフォームであるScallop Protocolは、sSUI報酬プールに関連する廃止済みのサイドコントラクトを狙ったフラッシュローンの悪用を受け、約$142,000 (150,000 SUI)の損失が発生しました。この攻撃は、オラクルの価格フィード

GateNews43分前

$263 百万ドルの暗号通貨窃盗のマネーロンダリングで70か月の刑を言い渡された22歳

執行措置セキュリティインシデント

米司法省によると、カリフォルニア州在住のエヴァン・タンゲマン(22歳)は、金曜に、多州にまたがる暗号資産の窃盗グループから得た資金のマネーロンダリングに関与したとして、連邦刑務所で70か月の判決を受けた。該当グループは、被害者からデジタル資産を約 $263 百万ドル盗んだという。米国。

CryptoFrontier2時間前

Litecoin、MWEBプライバシーレイヤーのゼロデイ悪用後に深刻なチェーン再編

セキュリティインシデント

Gate Newsメッセージ、4月26日 — ライ トコインは土曜の午後、攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことを受けて、深刻なチェーン再編を経験した。

GateNews2時間前

Avi Eisenbergに関連するアドレスが新たなオンチェーン活動を示し、安全性への懸念が高まる

執行措置セキュリティインシデントオンチェーンデータ

ゲートニュース 4月26日 — ブロックチェーン分析プラットフォームのArkhamは、2022年のMango Marketsエクスプロイトで約$110 百万ドルの利益を得た攻撃者Avi Eisenbergに関連していると見られるアドレスから、オンチェーン活動の再開を示す新たな動きを確認した。Eisenbergはこれまで、

GateNews4時間前

SuiチェーンのDeFiレンディングプロトコル「Scallop」がハッキング被害、旧バージョンのコントラクトの脆弱性により15万SUIが盗難

プロジェクト進捗セキュリティインシデント

Scallop は Sui チェーンで攻撃を受け、サイドコントラクトにより sSUI 報酬プールが悪用され、約 15 万枚の SUI が盗まれました。中核コントラクトの安全性は確保されており、入金と出金はすでに復旧しています。公式声明は、すでに廃止済みの報酬コントラクトに限られ、ユーザーの資金には影響がありません。前 NEAR の開発者 Vadim は、この脆弱性の原因が 17 か月前の旧版 V2 パッケージにあるとし、last_index が初期化されていなかったため 2023 年以降に報酬が累積されたと指摘しました。修正には、共有オブジェクトにバージョン欄を追加し、バージョンの検証を強化して、古いパッケージがリスクを引き起こさないようにする必要があります。

ChainNewsAbmedia5時間前

Scallop、sSUI報酬プールの脆弱性を発見、150K SUIの損失が発生するも全額の補償を約束

プロジェクト進捗セキュリティインシデント

Gate Newsメッセージ、4月26日――Suiエコシステムにおける貸出プロトコルのScallopは、自社のsSUI報酬プールに関連する補助コントラクトで脆弱性が発見されたことを発表し、その結果、約150,000 SUIの損失が発生した。影響を受けたコントラクトは凍結されており、Scallopは、コアとなるコントラクトは引き続き安全であり、影響を受けているのはsSUI報酬プールのみであることを確認した

GateNews9時間前
コメント
0/400
コメントなし