• HB Walletからイーサリアムが盗難される事件が発生
• 犯人は内部の元チームリーダー
• 盗まれた資金は返済予定

イーサリアムの盗難被害！犯人は特定済み

2018年5月24日、日本のbacoor株式会社が提供する「HB Wallet」に盗難被害が発生。Android版のユーザーが保管する6,000万円相当のイーサリアムが盗まれました。

baccorの発表では、すでに犯人は特定され、被害者には資産の返済が予定されているとのことです。

イーサリアム盗難事件の概要

今回の事件は外部のハッキングではなく、内部からの不正アクセスが原因でした。

犯人はHB Walletの元チームリーダー。

犯人はすでにbacoorを退職していますが、アプリをリリースするのに必要なAPIキーを不正に所持。そのAPIキーと独自に開発したアプリケーションを使って、問題となったver1.5.1をリリースしました。

1. 犯人であるHB Walletのチームリーダーが退職
2. 犯人がAPIキーと独自アプリケーションを所持
3. 不正な「HB Wallet（ver1.5.1）」をリリース
4. ver1.5.1を利用したユーザーのアドレスとパスフレーズを盗み出す
5. baccorが正常な「HB Wallet（ver1.5.2）」をリリース

HB Walletを「Google Play Store」にリリースするには、「Google Play Store Console」というツールのAPIキーが必要。そのAPIキーはbacoorの代表取締役とHB Walletのチームリーダーのみが所持しています。

犯人が端末に保存していたAPIキーは、退職のときに、端末ごと会社に返却され、初期化されたはずでした。

しかし犯人はAPIキーを不正に所持。

その結果、ユーザーのアドレスとパスフレーズ（復元フレーズ）を外部データベースに送信する機能を備えた「HB Wallet（ver1.5.1）」がリリースされました。

事件発生後の展開

「HB Wallet（ver1.5.1）」がリリースされたのは5月22日。その時点ではまだ、baccorは不正リリースを検知できていませんでした。

しかしTwitterによる被害報告を受け、調査を開始。5月24日には正式な「HB Wallet（ver1.5.2）」をリリースしました。

そして5月25日に犯人を特定し、盗んだイーサリアムとトークンを返却させました。

baccorは今回の盗難被害が発生した原因として、次の2点を掲げています。

• 古いAPIキーを無効にしなかったこと
• 不正なリリースをすぐに検知できなかったこと

今後は再発防止策として、アプリをリリース可能なアカウントの制限。baccorが所持する端末以外からのアクセス時、即座に通知が来るように設定したとのことです。

また5月26日には最新のver1.6.2がリリースされました。

モバイルウォレットは秘密鍵を端末で管理することによる安全性が特徴。ただし今回のように、内部からの不正アクセスが起こる危険もあります。

こういったリスクを軽減するために、1つのウォレットにすべての仮想通貨を保管するのではなく、いくつかに分散するようにしましょう。