ブログに戻る
ledgerhardware-walletsupply-chainphishing
誰も信じるな:Ledgerの物理的サプライチェーン攻撃
ハッカーが改ざんされたLedgerデバイスを被害者に郵送する洗練されたサプライチェーン攻撃。物理的ハードウェアはもはやゴールドスタンダードではありません。
Miguel Treviño•
要約:
- 攻撃: 詐欺師が改ざんされた「交換用」Ledgerデバイスを被害者に郵送し、内部ハードウェアの改変によりシードフレーズを盗むよう設計しています。
- 脆弱性: 物理的コールドストレージは「サプライチェーンリスク」を導入します—ユーザーは郵便業者、再販業者、物理的コンポーネントの完全性を信頼しなければなりません。
- 変化: 現代のモバイルハードウェア(セキュアエンクレーブ)は、出荷リスクなしに専用ドングルと同等のセキュリティを提供します。
- 解決策: Zelfはスマートフォン内のセキュリティチップを活用し、ハイティア暗号化と生体認証ZK証明を組み合わせることで、信頼できない物理ハードウェアの必要性を排除します。
郵便で荷物を受け取ることを想像してください。公式の会社から送られてきたように見える新しいLedger Nanoで、古いデバイスの「セキュリティ交換品」だと主張しています。
プラグインし、シードフレーズを入力し...そしてあなたの全財産が消えます。
これは映画のプロットではありません。DeFi Hanzoが報告したように、現実の話です。
サプライチェーン攻撃
攻撃はデジタルから物理へと移行しています。ハッカーはデータリークを利用して暗号資産所有者の物理的住所を見つけました。そして改ざんされたハードウェアデバイス—実質的にプラスチックとシリコンでできた「トロイの木馬」—を玄関先に直接送りつけました。
これらの偽デバイスのカスタムファームウェアは、入力時にユーザーのシードフレーズを即座にクローンするよう設計されていました。
ハードウェアのパラドックス
「コールドストレージ」ハードウェアウォレットが最も安全な選択肢だと言われてきました。しかし重大な脆弱性を導入します:サプライチェーン。
- 郵便業者を信頼できますか?
- 再販業者を信頼できますか?
- チップ内のはんだ付けを検証できますか?
出荷なしのセキュリティ
Zelfはあなたがすでに信頼し、持っているハードウェア—スマートフォンのセキュアエンクレーブ—を使用してこれを解決します。
現代のスマートフォンには、外部ハードウェアウォレットと同様に安全な専用セキュリティチップ(AppleのSecure EnclaveやAndroidのTitan Mなど)があります。
- サプライチェーンリスクなし:見知らぬ人から新しいデバイスを購入したのではなく、何ヶ月も持っている自分の電話を使用しています。
- 生体認証暗号化:Zelfはこのセキュアチップを利用して、あなたの顔で暗号化された鍵を生成します。
- ハッキングを「郵送」不可能:ハッカーは偽のZelfアプリを郵送できません。アプリストアの暗号署名が改ざんを防ぎます。
物理的ドングルの時代がありました。未来は生体認証、モバイル、サプライチェーンプルーフです。