仮想通貨ニュースメディアビットタイムズ

【重要】仮想通貨ウォレット「Edge」で約2,000個の秘密鍵が漏洩｜利用者は早急に対応を

by BITTIMES 2023/02/25 13:29 2023/02/25 13:34

複数の暗号資産に対応した仮想通貨ウォレットを展開している「Edge（エッジ）」は2023年2月23日に、一部のユーザーに影響を与える可能性のあるセキュリティ上の脆弱性が判明したことを発表し、ユーザーに「最新版へのアップグレード」と「新しいウォレットの作成・資金移動」を求めました。今回発覚した脆弱性によって、約2,000個の秘密鍵が流出したと報告されています。

こちらから読む：仮想通貨詐欺アプリに要注意「資産管理」関連ニュース

1. セキュリティ上の脆弱性で秘密鍵が漏洩
2. Edgeで判明した脆弱性の詳細
3. Edge利用者が早急に行うべき対応
- 3.1. Edge最新バージョン「v3.3.1」へのアップデート
- 3.2. 新しいウォレットの作成と資金移動
4. 影響を受けなかったユーザーについて

セキュリティ上の脆弱性で秘密鍵が漏洩

複数の暗号資産に対応した仮想通貨ウォレットを展開している「Edge（エッジ）」は2023年2月23日に、一部のユーザーに影響を与える可能性のあるセキュリティ上の脆弱性が判明したことを発表しました。

今回の脆弱性によって、暗号資産ウォレットの復元などで利用する重要情報となる「秘密鍵」が約2,000個漏洩したとのことで、Edgeはすべてのユーザーに対して『公式発表記事を確認して、最新版へのアップデートや新規ウォレットの作成・資金移動など、必要な対応を直ちに行うように』と注意喚起を行っています。

Urgent notice:

We have identified a security vulnerability in Edge which has the potential to have affected a subset of users.

All users should read the blog post linked below and take immediate action:https://t.co/soWkf8U17k
— Edge (@EdgeWallet) February 22, 2023

緊急のお知らせ

Edgeに、一部のユーザーに影響を与える可能性のあるセキュリティ上の脆弱性があることが判明しました。

すべてのユーザーは、以下のリンク先のブログ記事を読み、直ちに対処してください。

Edgeで判明した脆弱性の詳細

Edge（エッジ）の公式発表によると、同社は今月20日に『不正なトランザクションでウォレット内のビットコインが盗まれた（BTC以外の資産は無傷）』との報告を受けたとのことで、調査を進めた結果、以下両方の操作を行った場合に秘密鍵が漏洩する脆弱性が見つかったと報告されています。

下部ナビゲーションバーにある「Buy」または「Sell」タブから利用可能な「Bity・Wyre・Bitrefill・Ionia・Xanpool・LibertyX・Bitaccess・Bits of Gold・Banxa（銀行振込のみ）」のオプションのいずれかを入力。この操作によって、対象ウォレットの暗号化されていない秘密鍵がデバイスのディスクに記録される。
Edgeサーバーにログを送信する「Upload Logs」の機能を使用。購入/売却オプションのいずれかを入力した後にログのアップロードが行われた場合は、秘密鍵情報が含まれることになる。新しいログエントリは古いエントリを押し出す仕様となっているため、購入/売却画面を訪問した直後にアップロードを行った場合に秘密鍵情報漏洩の可能性がある。

報告によると、今回漏洩した約2,000個の秘密鍵は「Edgeプラットフォームで作成された秘密鍵の約0.01%未満」にあたるとのことで、『数十個の秘密鍵の抜き取り検査では多くの鍵に資金が残っていることが確認されているため、"Edgeのインフラが広範囲にわたって侵害され、そのような秘密鍵にある資金の大部分が危険にさらされたわけではない"ということが確認された』とも説明されています。

Edge側は「ユーザーの鍵が侵害された可能性がある範囲が狭いこと」や「資金がなくなったユーザーからの報告が非常に少なく、その額が現在5桁ドル程度であること」から『この事件は非常に限定的で、影響を受けたユーザーに対する標的型攻撃である可能性がある』と考えているとのことですが、Edgeを利用している全てのユーザーに対して以下のような「最新版へのアップデート」「新しいウォレットの作成と資金移動」などの対応を早急に行うことを求めています。

Edge利用者が早急に行うべき対応

Edge最新バージョン「v3.3.1」へのアップデート

全てのEdge Wallet利用者は、Google Play Store・Apple App Store・Edge公式サイトからダウンロード可能な「Edgeの最新バージョン（v3.3.1）」にアップデートする必要がある。

Edgeの最新版「v3.3.1」では、ウォレットの秘密鍵に関する既知の脆弱性がすべて修正されており、以前のログがすべてディスクから即座に削除される仕様となっている。

新しいウォレットの作成と資金移動

資産を安全に確保するため、Edgeウォレットの利用者は新しいウォレットを作成して、古いウォレットから新しいウォレットに資産を移動する必要がある（新しいアカウントを作成する必要はなく、アカウント内で新しいウォレットを作成するだけで良い）。

既存のアカウントに新しいウォレットを作成すれば、そのウォレットの秘密鍵に関する脆弱性に晒されることはない。

影響を受けなかったユーザーについて

Edgeの公式発表では『Bity・Wyre・Bitrefill・Ionia・Xanpool・LibertyX・Bitaccess・Bits of Gold・Banxa（銀行振込のみ）のいずれの売買オプションも利用したことがないユーザーは、今回の脆弱性の影響を受けていない』とも説明されています。

「Visa・MasterCard・Apple Pay・Google Pay」の売買オプションのみを利用して「Banxa・Simplex・Moonpay」に自動ルーティングした場合（これらの支払い方法ではWebブラウザにリダイレクトしない）は影響を受けないとのことで、『Edge SDKのみを利用するパートナーもこの脆弱性の影響を受けない』と説明されています。

「今回の脆弱性の詳細」や「古いウォレットから新しいウォレットに資産を移動する方法の詳細」は、以下の公式ぺージで確認することができます。

>>「Edge」の公式発表はこちら

こちらの記事もあわせてどうぞ