Crypto cybersecurity firm Unciphered has unearthed a decade-old crypto wallet bug affecting browser-based wallets generated between 2011 and 2015.

暗号通貨サイバーセキュリティ企業 Unciphered は、2011 年から 2015 年の間に生成されたブラウザベースのウォレットに影響を与える 10 年前の暗号通貨ウォレットのバグを発見しました。

The bug may allow nefarious actors to steal up to $2.1 billion from wallets on various networks, including Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC), and Zcash (ZEC).

このバグにより、凶悪な攻撃者はビットコイン (BTC)、ドージコイン (DOGE)、ライトコイン (LTC)、ジーキャッシュ (ZEC) を含むさまざまなネットワーク上のウォレットから最大 21 億ドルを盗むことができる可能性があります。

Discovering An Ancient Bug

古代のバグの発見

In an interview with the Wall Street Journal, the Unciphered team explained that they’d accidentally discovered the bug during a failed attempt to recover an early investor’s $600,000 in lost Bitcoin (BTC).

ウォール・ストリート・ジャーナルとのインタビューで、Uncipheredチームは、初期投資家の失われたビットコイン（BTC）60万ドルを取り戻そうとして失敗した際に、偶然このバグを発見したと説明した。

The entrepreneur, Nick Sullivan, created his Bitcoin wallet back in 2014 using the website Blockchain.info (since renamed to Blockchain.com). Later, he accidentally lost access to his coins after wiping his computer’s memory without remembering to record his wallet’s private key.

起業家のニック・サリバン氏は、2014 年に Web サイト Blockchain.info (その後 Blockchain.com に名前変更) を使用してビットコイン ウォレットを作成しました。その後、ウォレットの秘密鍵を記録することを忘れずにコンピューターのメモリを消去した後、誤ってコインにアクセスできなくなりました。

At Sullivan’s request, Unciphered began searching for Sullivan’s coins in January 2022. Though they ultimately lacked enough information to get them back, they realized in the process that Blockchain.info’s code for creating random wallet keys – BitcoinJS – did not make all of its wallets random enough.

サリバン氏の要請を受けて、アンサイファレッド社は2022年1月にサリバン氏のコインの捜索を開始した。最終的にはコインを取り戻すのに十分な情報が不足していたが、その過程でランダムなウォレットキーを作成するBlockchain.infoのコード（BitcoinJS）がすべてのウォレットを作成したわけではないことに気づいた。十分にランダムです。

“BitcoinJS is terribly broken up till March 2014,” said Unciphered co-founder Eric Michaud. “Anyone directly using it is on the very high end of risk to attack.”

「BitcoinJS は 2014 年 3 月までひどく崩壊しています」と Unciphered の共同創設者 Eric Michaud 氏は述べています。 「これを直接使用する人は、攻撃されるリスクが非常に高くなります。」

Another wallet site, Dogecoin.info, also used BitcoinJS, leaving many old Dogecoin users exposed to the same vulnerability.

別のウォレット サイトである Dogecoin.info も BitcoinJS を使用しており、多くの古い Dogecoin ユーザーが同じ脆弱性にさらされたままになっています。

Unciphered claims that wallets made before March 2012 contain $100 million in assets that could easily be hacked by a home computer user. Another $50 billion is held in wallets created between then and 2015, of which at least $500 million is vulnerable.

暗号化されていない主張によると、2012 年 3 月より前に作成されたウォレットには 1 億ドルの資産が含まれており、家庭のコンピューター ユーザーによって簡単にハッキングされる可能性があります。さらに 500 億ドルが当時から 2015 年の間に作成されたウォレットに保管されており、そのうち少なくとも 5 億ドルが脆弱です。

Cryptographers discovered flaws in wallet generation randomness back in 2014, and improved their methods since. Unciphered said it hadn’t discovered any wallets generated after 2016 suffering from weak randomness.

暗号学者は 2014 年にウォレット生成のランダム性の欠陥を発見し、それ以来手法を改善しました。 Uncipheredは、2016年以降に生成されたウォレットで弱いランダム性が発生したものは発見されていないと述べた。

How to Tell Victims?

被害者にどう伝えるか？

Unciphered came public with the vulnerability this week, but has been quietly warning affected users that their assets are at risk for months.

Unciphered は今週この脆弱性を公表したが、影響を受けるユーザーに対して数か月間、資産が危険にさらされていると静かに警告してきた。

The challenge was convincing millions of victims to move their funds without revealing the vulnerability to thieves who would otherwise leverage it to steal coins.

課題は、コインを盗むために利用する泥棒に脆弱性を明らかにすることなく、何百万もの被害者を説得して資金を移動させることでした。

Unciphered ultimately decided to go to the biggest site responsible for generating such wallets that might be in a position to discretely notify affected users. That site ended up being the one Sullivan used – Blockchain.com.

Unciphered は最終的に、影響を受けるユーザーに個別に通知できる立場にある可能性のある、そのようなウォレットの生成を担当する最大のサイトにアクセスすることを決定しました。そのサイトは最終的にサリバンが使用したサイト、Blockchain.com になりました。

The site sent out emails to holders of over 1.1 million affected wallets and found a way to automatically update the wallets of anyone who visited its site.

このサイトは、影響を受けた 110 万以上のウォレットの所有者に電子メールを送信し、サイトにアクセスした人のウォレットを自動的に更新する方法を発見しました。

“In crypto, you need to be pretty skeptical of people who call with something that sounds dramatic, because there are so many scammers,” Blockchain.com President Lane Kasselman said regarding Unciphered’s warning. “It was unclear who they were and what the scope of it was.”

Blockchain.comのレーン・カッセルマン社長は、Uncipheredの警告について、「暗号通貨では、ドラマティックに聞こえるような内容で電話をかけてくる人にはかなり懐疑的になる必要がある。詐欺師が非常に多いからだ」と述べた。 「彼らが誰なのか、またその範囲がどのようなものかは不明でした。」

Many affected users still haven’t been warned directly since the sites they used to create their wallets are now out of business.

影響を受けるユーザーの多くは、ウォレットの作成に使用していたサイトが現在閉鎖されているため、まだ直接警告を受けていません。

The post Old Crypto Wallet Bug Puts $2.1 Billion At Risk: Unciphered appeared first on CryptoPotato.

The post Old Crypto Wallet Bug Puts $21 Billion At Risk: Unciphered first appeared on CryptoPotato.