暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

GoPlus 緊急警報:EngageLab SDK 高リスクの脆弱性、3000 万の暗号ウォレットの秘密鍵が漏洩する恐れ

MarketWhisper
セキュリティインシデント

EngageLab漏洞

ブロックチェーン・セキュリティ・プラットフォームのGoPlusは4月10日に緊急アラートを発表し、Androidのプッシュ通知に広く利用されているEngageLab SDKに重大なセキュリティ脆弱性があると指摘した。この脆弱性は5,000万以上のAndroidユーザーに影響し、そのうち約3,000万が暗号資産ウォレットのユーザーだ。攻撃者は被害端末に、正規のアプリに偽装したマルウェアを導入し、暗号資産ウォレットの秘密鍵とログイン認証情報を窃取できる。

脆弱性の技術的な原理:サイレント実行のクロスアプリ攻撃チェーン

EngageLab SDK高危漏洞 (出典:GoPlus)

今回の脆弱性の中核となる欠陥は、EngageLab SDKがAndroidシステムのIntent通信メカニズムを処理する際に、十分な発信元検証を行っていない点にある。IntentはAndroidアプリ間で指示を受け渡す正当な仕組みだが、EngageLab SDKの実装では、未認可の発信元からの指示が通常の検証プロセスを回避してしまい、標的アプリが機微な操作を実行してしまう。

完全な攻撃チェーンの3ステップ

悪意のあるアプリの埋め込み:攻撃者はマルウェアを正規のAppとして偽装し、被害者に同一のAndroid端末へインストールさせる

悪意のあるIntentの注入:悪意のあるアプリが、同一端末上でEngageLab SDKが統合された暗号資産ウォレットまたは金融アプリに対して、入念に細工された悪意のあるIntentを送信する

権限のない操作の実行:標的アプリがIntentを受信すると、ユーザーに知られることなく、ウォレット秘密鍵の窃取、ログイン認証情報、その他の機微なデータを含む未認可操作を実行する

この攻撃チェーンの最大の危険性は、そのサイレント性にある。被害者は能動的な操作を行う必要がなく、端末上に悪意のあるアプリと、脆弱性のあるバージョンのEngageLab SDKを含むアプリが同時に存在するだけで、攻撃がバックグラウンドで完了する。

影響規模:暗号ユーザーが不可逆の資産損失リスクに直面

EngageLab SDKは、広く展開されたプッシュ通知の基盤コンポーネントとして、数千のAndroidアプリに統合されており、今回の脆弱性の影響範囲は5,000万台規模に達している。そのうち暗号資産ウォレットのユーザーは約3,000万だ。

暗号資産ウォレットの秘密鍵が漏えいすれば、攻撃者は被害者のオンチェーン資産を完全に掌握できる。そして、ブロックチェーン取引の不可逆性により、この種の損失はほぼ取り戻せず、一般的なアプリのデータ漏えい事件を大きく上回るリスクとなる。

緊急対応策:開発者とユーザーの即時アクション・リスト

セグメント別セキュリティ推奨

  1. アプリ開発者とベンダー

・ 製品にEngageLab SDKが統合されているかを直ちに確認し、現在のバージョンが4.5.5未満かどうかを確認する

・ EngageLab SDK 4.5.5以上の公式の修正バージョンへアップグレードする(EngageLab公式ドキュメントを参照)

・ 更新版を再リリースし、ユーザーにできるだけ早くアップデートを完了するよう通知する

  1. 一般的なAndroidユーザー

・ 直ちにGoogle Playにアクセスしてすべてのアプリを更新し、暗号資産ウォレットおよび金融系のアプリを優先して対応する

・ 出所不明または非公式チャネルからダウンロードしたアプリに警戒し、必要に応じて直ちに削除する

・ 秘密鍵が漏えいした疑いがある場合は、セキュア端末上で新しいウォレットを作成し、資産を移し替えて、旧アドレスを永久に無効化する

よくある質問

EngageLab SDKとは何で、なぜ暗号資産ウォレットに広く統合されているのか?

EngageLab SDKは、Androidのプッシュ通知機能を提供するサードパーティのソフトウェアスイートで、導入の手軽さから大量のアプリで採用されている。プッシュ通知はほとんどすべてのモバイルアプリの標準機能であり、そのためEngageLab SDKは暗号資産ウォレットや金融アプリに広く存在し、今回の脆弱性の影響規模が5,000万ユーザーにまで達することにつながった。

自分の端末がこの脆弱性の影響を受けているかどうかをどう確認すればよいか?

Android端末に暗号資産ウォレットまたは金融アプリがインストールされていて、まだ最新バージョンに更新されていない場合、影響を受けるリスクがある。直ちにGoogle Playストアで、すべてのアプリを更新することを推奨する。開発者はアプリ内のSDKのバージョン番号を確認することで、4.5.5未満のバージョンのEngageLab SDKを使用しているかどうかを確認できる。

秘密鍵が漏えいしてしまった場合、緊急時はどう対処すべきか?

感染していないセキュア端末上で新しいウォレットアドレスを直ちに作成し、元のウォレットのすべての資産を新しいアドレスへ移し替え、元のアドレスを永久に無効化する。関連するすべてのプラットフォームでログインパスワードを同期して変更し、口座に二要素認証を有効化して、今後さらに侵害されるリスクを下げるべきだ。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

ソラナの非カストディアル・カジノLuck.ioがサービス停止;ユーザーに資金を直ちに引き出すよう要請

solana newsセキュリティインシデント

Gate Newsメッセージ、4月24日 — ソラナ上に構築された非カストディアル・カジノ・プラットフォームのLuck.ioは、2026年4月24日にサービスを終了すると発表し、すべてのユーザーに対してSmart Vaultsから残高を直ちに引き出すよう促しました。出金はluck.ioのウェブサイトから、または at のVault Withdrawal Tool から開始できます。proov.network/withdraw.html

GateNews2時間前

米国がイラン関連の暗号ウォレットに制裁措置;Tetherが$344 百万USDTを凍結

USDT news地政学規制・政策執行措置セキュリティインシデントオンチェーンデータ

ゲートニュース、4月24日—米国財務長官スコット・ベッセントは木曜、進行中の停戦の中でドナルド・トランプ大統領が対イランへの経済的圧力を強める取り組みの一環として、イランに関連する複数のウォレットに対する制裁を発表した。「我々は、テヘランが国外で動かそうと必死にもがいている資金を追跡し、政権に結び付いたあらゆる金融の生命線を標的にする」ベッセントは声明で述べた。 "We will follow the money that Tehran is de

GateNews4時間前

プロジェクトイレブン、Q-Day 1 BTC懸賞を授与:研究者が量子コンピューターで15ビット楕円曲線鍵を解読

bitcoin newsセキュリティインシデント

「Q-Day(量子コンピューターによるブロックチェーン暗号の解読デー)」の非営利組織 Project Eleven が 4/24 に発表し、独立研究者 Giancarlo Lelli に対して 1 枚のビットコインの懸賞金を授与します。Lelli は、公開でアクセス可能なクラウド型量子コンピューターのハードウェア上で Shor のアルゴリズムのバリアントを用い、15 ビットの楕円曲線鍵を正常に解読しました。これは、これまでで最大規模の公開量子攻撃のデモンストレーションです。 攻撃規模と意義 プロジェクト 内容 受賞者 Giancarlo Lelli(独立研究者) 攻撃対象 15 ビットの楕円曲線鍵、32,767 通りの可能性を探索 ハードウェア 公開でアクセス可能なクラウド型量子コンピューター アルゴリズム Shor

ChainNewsAbmedia5時間前

研究者が15ビット楕円曲線鍵を突破し、1 BTCの懸賞金を獲得

bitcoin newsethereum newsセキュリティインシデント

独立研究者のジャンカルロ・レッリは、一般にアクセス可能な量子コンピューターを用いて15ビットの楕円曲線鍵を導き出し、起業家によれば、これまでで最も大規模な楕円曲線暗号への「最大の量子攻撃」をProject Elevenが行ったと位置づけた。Project Elevenはレッリに1 BTCの懸賞金を授与し、

CryptoFrontier7時間前

PolymarketがSteamログインを追加、Balancerのハッカーが7,000 ETHをBTCにスワップ、Aave Chanがデポジット・ボールトを提案

資金フロー予測市場セキュリティインシデントオンチェーンデータ

Gate Newsメッセージ、4月24日 — Polymarketは新しいSteamアカウントのログインオプションを導入し、ユーザーの利用方法を拡大しました。SaturnはSTRCの保有高を増やし、総ポジションの評価額は$33 millionでした。Balancerのハッカーが7,000 ETHを204.7 BTCに転換し、約$15.88 millionに相当し、ウォレット間の送金を通じて実行しました。

GateNews9時間前

Balancerの攻撃者が13,191 ETHを386.52 BTC(価値$30.54M)に転換

bitcoin newsethereum newsセキュリティインシデントオンチェーンデータ

Gate Newsのメッセージ、4月24日 — Onchain Lensによると、Balancerの攻撃者(0xa6d6...BDaA)は過去15時間で13,191 ETHを386.52 BTCに換金し、その価値は約$30.54 millionです。 攻撃者は現在、さらに8,000 ETHを保有しており、その価値は約$18.52 millionです。

GateNews10時間前
コメント
0/400
コメントなし