今日の情報が、明日の君をつくる。

3つの主要ウォレット会社のビットコインウォレットに脆弱性、数百万人が二重支払いバグ「BigSpender」に晒されてる可能性。

仮想通貨スタートアップ企業ZenGoによれば、Ledger Live・Edge・BRDのビットコインウォレットが「Big Spender」と呼ばれるハッカーによって二重支払いを可能にするバグの影響下にあると警鐘を鳴らしています。

BTCウォレットに新たな脆弱性

イスラエルのテレアビブに拠点を構える仮想通貨企業ZenGoの研究者の発表によると主要ウォレット企業Ledger Live・Edge・BRDの3社のビットコイン(BTC)ウォレットを用いるユーザーが二重支払いの脆弱性に晒されていると指摘しています。

この脆弱性は「BigSpender」と呼ばれ、ウォレット所有者がビットコインを送金する際、無事受け取れた取引履歴が反映されるものの、実際にはハッカーの元に資金が送られているバグとなっています。

ハッカーはRBF(replace-by-fee)機能を悪用し、未確認トランザクションをより高い手数料を支払うことで可能にしますが、最悪の場合元のウォレット所有者が自身の資産に二度とアクセスできなくなる場合もあるためより悪質と言えます。

ZenGoのシニアソフトウェアエンジニアであるOded Leiba氏は、自身のブログにて次のように説明しています。

「BigSpenderの核心的な問題は、脆弱性のあるウォレットが取引がキャンセルされる可能性があるという選択肢に備えておらず、使用するユーザーの残高が未確認トランザクションであるにも関わらず増加し、二重支払いが行われた場合にも残高が減少せず、事実上キャンセルされてしまうことです。」

LedgerとBRDは否定

ZenGoによればすでに修正作業に入りウォレットの開発者とも連絡を取っていますが、LedgerとBRDはZenGoの不明瞭な説明に疑問を呈し、否定の立場を取っています。

Ledgerのセキュリティチームのメンバーは「実際に二重支払いが行われたことはなく、ユーザーの資金は安全だ。」と主張し、受信したトランザクションの表示は誤解を招く可能性があると苦言を呈しました。

ZenGoの最高経営責任者Ouriel Ohayon氏は二重支払いの危険性により、数百万人のウォレットが危険に晒されていることになると指摘しています。実際、BRDは現在500万人以上のユーザーを有しています。

BigSpenderにより資金にアクセスできなくなるバグが大規模にわたる可能性もあることを考えると深刻なものであると述べ、セキュリティは業界によって継続的に争われている戦いであり、単一では勝てないと主張しています。

そのためウォレット企業は製品開発やサービスの開発と同様に、研究とセキュリティに多くの努力を投資することが非常に重要だと呼びかけました。