Check Point Software Technologiesのサイバー脅威インテリジェンスであるCheck Point Researchは4月25日(米国時間)、公式ブログ「Check Point Research detects vulnerability in the Everscale blockchain wallet, preventing cryptocurrency theft」において、Everscale(EVER)ブロックチェーンのウォレットアプリである「Ever Surf」のWebバージョンに脆弱性を発見したと伝えた。攻撃者は、この脆弱性を悪用して標的のウォレットを完全に制御できる可能性があるという。

Ever SurfはEverscaleブロックチェーン用のウォレットやブロックチェーンブラウザー、およびメッセンジャー機能を提供するアプリである。Ever Surfにはスマートフォン向けのモバイルアプリと、Windows/macOS/Linux向けのデスクトップアプリ(後述)、そしてWebブラウザで利用できるWebバージョンが用意されていたが、Webバージョンは開発目的以外での使用は推奨されていなかった。今回報告された脆弱性は、この非推奨のWebバージョンにのみ存在し、モバイルアプリやデスクトップアプリは影響を受けないという。

  • Ever SurfのWebバージョン(引用:Check Point Research)

    Ever SurfのWebバージョン 引用:Check Point Research

Ever Surfは、ユーザーが新しいウォレットを作成した際に、シードフレーズと公開鍵と秘密鍵のペアを生成する。またユーザーは、ログインやトランザクションの確認のために使用される6桁のPINコードを登録する必要がある。

Check Point Researchのレポートによれば、WebバージョンのEver Surfでは、作成されたキーとシードフレーズはWebブラウザのローカルストレージに保存されるという。Webブラウザのローカルストレージは暗号化によって保護されておらず、ローカルマシンにアクセスできるユーザーはその中身を取得することができる。

Ever Surfではキーとシードフレーズを自前で暗号化した上でローカルストレージに保存するが、これを復号するためのキーを導出する部分の実装に脆弱性があり、PINコードさえ判明すれば復号キーを取得できることが判明したとのこと。PINコードは6桁なので、ブルートフォース攻撃でも現実的な時間内で正解にたどり着くことが可能である。

したがって、攻撃者がWebブラウザのローカルストレージからEver Surfが利用するキーストアを取得することができれば、そこから簡単なプログラムで復号されたキーとシードフレーズを入手できることになる。これは、暗号資産のウォレットを完全に制御できることを意味している。

Check Point Reseachの報告を受けて、Ever SurfはWebバージョンのサポートを終了することを決定した。その上で、2022年第1四半期にリリースを予定していたデスクトップアプリをベータ版として公開し、Webバージョンが終了する前に移行を完了するように呼びかけている。