ブロックチェーン・セキュリティ・プラットフォームのGoPlusは4月10日に緊急アラートを発表し、Androidのプッシュ通知に広く利用されているEngageLab SDKに重大なセキュリティ脆弱性があると指摘した。この脆弱性は5,000万以上のAndroidユーザーに影響し、そのうち約3,000万が暗号資産ウォレットのユーザーだ。攻撃者は被害端末に、正規のアプリに偽装したマルウェアを導入し、暗号資産ウォレットの秘密鍵とログイン認証情報を窃取できる。

脆弱性の技術的な原理：サイレント実行のクロスアプリ攻撃チェーン

（出典：GoPlus）

今回の脆弱性の中核となる欠陥は、EngageLab SDKがAndroidシステムのIntent通信メカニズムを処理する際に、十分な発信元検証を行っていない点にある。IntentはAndroidアプリ間で指示を受け渡す正当な仕組みだが、EngageLab SDKの実装では、未認可の発信元からの指示が通常の検証プロセスを回避してしまい、標的アプリが機微な操作を実行してしまう。

完全な攻撃チェーンの3ステップ

悪意のあるアプリの埋め込み：攻撃者はマルウェアを正規のAppとして偽装し、被害者に同一のAndroid端末へインストールさせる

悪意のあるIntentの注入：悪意のあるアプリが、同一端末上でEngageLab SDKが統合された暗号資産ウォレットまたは金融アプリに対して、入念に細工された悪意のあるIntentを送信する

権限のない操作の実行：標的アプリがIntentを受信すると、ユーザーに知られることなく、ウォレット秘密鍵の窃取、ログイン認証情報、その他の機微なデータを含む未認可操作を実行する

この攻撃チェーンの最大の危険性は、そのサイレント性にある。被害者は能動的な操作を行う必要がなく、端末上に悪意のあるアプリと、脆弱性のあるバージョンのEngageLab SDKを含むアプリが同時に存在するだけで、攻撃がバックグラウンドで完了する。

影響規模：暗号ユーザーが不可逆の資産損失リスクに直面

EngageLab SDKは、広く展開されたプッシュ通知の基盤コンポーネントとして、数千のAndroidアプリに統合されており、今回の脆弱性の影響範囲は5,000万台規模に達している。そのうち暗号資産ウォレットのユーザーは約3,000万だ。

暗号資産ウォレットの秘密鍵が漏えいすれば、攻撃者は被害者のオンチェーン資産を完全に掌握できる。そして、ブロックチェーン取引の不可逆性により、この種の損失はほぼ取り戻せず、一般的なアプリのデータ漏えい事件を大きく上回るリスクとなる。

緊急対応策：開発者とユーザーの即時アクション・リスト

セグメント別セキュリティ推奨

アプリ開発者とベンダー

・製品にEngageLab SDKが統合されているかを直ちに確認し、現在のバージョンが4.5.5未満かどうかを確認する

・ EngageLab SDK 4.5.5以上の公式の修正バージョンへアップグレードする（EngageLab公式ドキュメントを参照）

・更新版を再リリースし、ユーザーにできるだけ早くアップデートを完了するよう通知する

一般的なAndroidユーザー

・直ちにGoogle Playにアクセスしてすべてのアプリを更新し、暗号資産ウォレットおよび金融系のアプリを優先して対応する

・出所不明または非公式チャネルからダウンロードしたアプリに警戒し、必要に応じて直ちに削除する

・秘密鍵が漏えいした疑いがある場合は、セキュア端末上で新しいウォレットを作成し、資産を移し替えて、旧アドレスを永久に無効化する

よくある質問

EngageLab SDKとは何で、なぜ暗号資産ウォレットに広く統合されているのか？

EngageLab SDKは、Androidのプッシュ通知機能を提供するサードパーティのソフトウェアスイートで、導入の手軽さから大量のアプリで採用されている。プッシュ通知はほとんどすべてのモバイルアプリの標準機能であり、そのためEngageLab SDKは暗号資産ウォレットや金融アプリに広く存在し、今回の脆弱性の影響規模が5,000万ユーザーにまで達することにつながった。

自分の端末がこの脆弱性の影響を受けているかどうかをどう確認すればよいか？

Android端末に暗号資産ウォレットまたは金融アプリがインストールされていて、まだ最新バージョンに更新されていない場合、影響を受けるリスクがある。直ちにGoogle Playストアで、すべてのアプリを更新することを推奨する。開発者はアプリ内のSDKのバージョン番号を確認することで、4.5.5未満のバージョンのEngageLab SDKを使用しているかどうかを確認できる。

秘密鍵が漏えいしてしまった場合、緊急時はどう対処すべきか？

感染していないセキュア端末上で新しいウォレットアドレスを直ちに作成し、元のウォレットのすべての資産を新しいアドレスへ移し替え、元のアドレスを永久に無効化する。関連するすべてのプラットフォームでログインパスワードを同期して変更し、口座に二要素認証を有効化して、今後さらに侵害されるリスクを下げるべきだ。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

Kelp DAO ブリッジのエクスプロイトが $293M ミントを引き起こし、Aave は $200M 百万ドル超の不良債権を抱える

セキュリティインシデント取引所リスクオンチェーンデータ

攻撃者は Kelp DAO のクロスチェーンブリッジの脆弱性を悪用し、裏付けのない rsETH を $293 百万ドル相当盗みました。この事件は DeFi プラットフォームに大きな損失をもたらし、Aave では最大 $236 百万ドル相当の不良債権と、市場への重大な影響が生じました。

GateNews48分前

専門家は、投資家を欺くためにアルトコインの指標が「操作」されていると主張

市場分析セキュリティインシデント

暗号研究者のOrbionは、アルトシーズン指数やCrypto Fear and Greed Indexを含む主要な市場指標が操作される可能性について懸念を表明しており、指標の水増しが誤った楽観を生み、アルトコイン・シーズンの到来について投資家を誤認させる可能性があると示唆しています。

Coinpedia4時間前

Curve Finance、rsETHハック後にLayerZeroインフラを停止

プロジェクト進捗セキュリティインシデント

Curve Financeは、rsETHをめぐるセキュリティインシデントのため、一時的にLayerZeroのインフラを停止しました。プロトコルは問題を調査中であり、一部のクロスチェーン・ブリッジング操作に影響していますが、その他は通常どおり継続しています。

GateNews5時間前

KelpDAOのエクスプロイターがAaveから$195M ETHを借り入れ、クジラの資金引き揚げでTVLが$6.28B下落

ethereum news 資金フローセキュリティインシデント取引所リスクオンチェーンデータ

Gate Newsのメッセージによると、KelpDAOのエクスプロイターは担保としてRSETHを用い、Aaveから($195M)を超える82,600 ETHを借り入れた。その結果、Aave上に不良債権が発生した。この件の後、多数のクジラがAaveから資金を引き揚げ、その結果TVLは$26.396Bから$20.114Bへと減少し、$6.28Bの下落となった。

GateNews8時間前

Monadの共同創業者、ハッキングリスクを軽減するため担保預入の動的キャップを提案

プロジェクト進捗セキュリティインシデント

ケオネ・ホン氏は、プール型レンディング・プロトコルはハック時のリスクを軽減するために、担保資産の増加に対して段階的なレート制限を導入すべきだと提案しています。彼は、rsETHの預託者に見られたような大きな損失が防げた可能性があると主張しています。

GateNews11時間前

香港警察、「AIクオンツ取引」仮想通貨詐欺に警鐘、女性はHK$7.7百万を損失

執行措置セキュリティインシデント AIエージェント AI業界ニュース

香港警察は、仮想通貨の詐欺を明らかにした。女性が投資の専門家を名乗る詐欺師にだまされ、Telegramを通じてAI取引による高い利回りを約束され、HK$7.7百万を失った。警察は、仮想通貨投資に伴うリスクについて一般の人々に警告した。

GateNews12時間前

0/400

コメントなし