要点まとめ
- 広く利用されるウォレット連携ライブラリに重大な脆弱性が発見
- 攻撃者が接続されたウォレットから全トークンを一度に窃取可能
- 数千のウェブサイトが影響を受け、速やかなライブラリ更新・対策が必要
ニュース本文
米メディア「The Protocol」は、暗号資産(仮想通貨)ウォレットとウェブアプリをつなぐライブラリに、接続済みのウォレットから全トークンを抜き取る致命的な脆弱性があると報じました。このライブラリは、ウォレット接続機能を実装する多くのサイトで採用されており、数千に上るウェブサービスが影響を受ける可能性があります。
具体的には、ライブラリ内部の通信プロトコル(ブラウザとウォレット間のデータ送受信のルール)が不適切に実装されており、悪意ある第三者が偽の署名要求を送りつけることで、ユーザーが意図しないトークン送金を実行させる攻撃が可能です。攻撃者は一度の操作でウォレット内の全資産を別アドレスへ転送できるおそれがあります。
現時点で脆弱性を利用した大規模被害の報告はないものの、ライブラリ提供元は緊急パッチをリリース済みです。ウェブサイト運営者は最新版へのアップデート、ユーザーは不要なサイトへのウォレット接続を見直し、既存の承認(アクセス権)をウォレット管理画面で取り消すことが推奨されます。
編集後記
ウォレット接続ライブラリは利便性が高い反面、脆弱性が発覚すると多くのユーザー資産を危険にさらします。サービス側の更新状況を確認し、ウォレットのアクセス権限管理を定期的に見直す習慣をつけましょう。
原文日付: 2025-12-17
原文URL: https://the-protocol.com/bug-drains-all-your-tokens
コメント