暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

GoPlus 緊急警報:EngageLab SDK 高リスクの脆弱性、3000 万の暗号ウォレットの秘密鍵が漏洩する恐れ

MarketWhisper
セキュリティインシデント

EngageLab漏洞

ブロックチェーン・セキュリティ・プラットフォームのGoPlusは4月10日に緊急アラートを発表し、Androidのプッシュ通知に広く利用されているEngageLab SDKに重大なセキュリティ脆弱性があると指摘した。この脆弱性は5,000万以上のAndroidユーザーに影響し、そのうち約3,000万が暗号資産ウォレットのユーザーだ。攻撃者は被害端末に、正規のアプリに偽装したマルウェアを導入し、暗号資産ウォレットの秘密鍵とログイン認証情報を窃取できる。

脆弱性の技術的な原理:サイレント実行のクロスアプリ攻撃チェーン

EngageLab SDK高危漏洞 (出典:GoPlus)

今回の脆弱性の中核となる欠陥は、EngageLab SDKがAndroidシステムのIntent通信メカニズムを処理する際に、十分な発信元検証を行っていない点にある。IntentはAndroidアプリ間で指示を受け渡す正当な仕組みだが、EngageLab SDKの実装では、未認可の発信元からの指示が通常の検証プロセスを回避してしまい、標的アプリが機微な操作を実行してしまう。

完全な攻撃チェーンの3ステップ

悪意のあるアプリの埋め込み:攻撃者はマルウェアを正規のAppとして偽装し、被害者に同一のAndroid端末へインストールさせる

悪意のあるIntentの注入:悪意のあるアプリが、同一端末上でEngageLab SDKが統合された暗号資産ウォレットまたは金融アプリに対して、入念に細工された悪意のあるIntentを送信する

権限のない操作の実行:標的アプリがIntentを受信すると、ユーザーに知られることなく、ウォレット秘密鍵の窃取、ログイン認証情報、その他の機微なデータを含む未認可操作を実行する

この攻撃チェーンの最大の危険性は、そのサイレント性にある。被害者は能動的な操作を行う必要がなく、端末上に悪意のあるアプリと、脆弱性のあるバージョンのEngageLab SDKを含むアプリが同時に存在するだけで、攻撃がバックグラウンドで完了する。

影響規模:暗号ユーザーが不可逆の資産損失リスクに直面

EngageLab SDKは、広く展開されたプッシュ通知の基盤コンポーネントとして、数千のAndroidアプリに統合されており、今回の脆弱性の影響範囲は5,000万台規模に達している。そのうち暗号資産ウォレットのユーザーは約3,000万だ。

暗号資産ウォレットの秘密鍵が漏えいすれば、攻撃者は被害者のオンチェーン資産を完全に掌握できる。そして、ブロックチェーン取引の不可逆性により、この種の損失はほぼ取り戻せず、一般的なアプリのデータ漏えい事件を大きく上回るリスクとなる。

緊急対応策:開発者とユーザーの即時アクション・リスト

セグメント別セキュリティ推奨

  1. アプリ開発者とベンダー

・ 製品にEngageLab SDKが統合されているかを直ちに確認し、現在のバージョンが4.5.5未満かどうかを確認する

・ EngageLab SDK 4.5.5以上の公式の修正バージョンへアップグレードする(EngageLab公式ドキュメントを参照)

・ 更新版を再リリースし、ユーザーにできるだけ早くアップデートを完了するよう通知する

  1. 一般的なAndroidユーザー

・ 直ちにGoogle Playにアクセスしてすべてのアプリを更新し、暗号資産ウォレットおよび金融系のアプリを優先して対応する

・ 出所不明または非公式チャネルからダウンロードしたアプリに警戒し、必要に応じて直ちに削除する

・ 秘密鍵が漏えいした疑いがある場合は、セキュア端末上で新しいウォレットを作成し、資産を移し替えて、旧アドレスを永久に無効化する

よくある質問

EngageLab SDKとは何で、なぜ暗号資産ウォレットに広く統合されているのか?

EngageLab SDKは、Androidのプッシュ通知機能を提供するサードパーティのソフトウェアスイートで、導入の手軽さから大量のアプリで採用されている。プッシュ通知はほとんどすべてのモバイルアプリの標準機能であり、そのためEngageLab SDKは暗号資産ウォレットや金融アプリに広く存在し、今回の脆弱性の影響規模が5,000万ユーザーにまで達することにつながった。

自分の端末がこの脆弱性の影響を受けているかどうかをどう確認すればよいか?

Android端末に暗号資産ウォレットまたは金融アプリがインストールされていて、まだ最新バージョンに更新されていない場合、影響を受けるリスクがある。直ちにGoogle Playストアで、すべてのアプリを更新することを推奨する。開発者はアプリ内のSDKのバージョン番号を確認することで、4.5.5未満のバージョンのEngageLab SDKを使用しているかどうかを確認できる。

秘密鍵が漏えいしてしまった場合、緊急時はどう対処すべきか?

感染していないセキュア端末上で新しいウォレットアドレスを直ちに作成し、元のウォレットのすべての資産を新しいアドレスへ移し替え、元のアドレスを永久に無効化する。関連するすべてのプラットフォームでログインパスワードを同期して変更し、口座に二要素認証を有効化して、今後さらに侵害されるリスクを下げるべきだ。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

RAVEトークン、2週間で110倍に急騰してから市場操作疑惑の中98%急落

価格ボラティリティセキュリティインシデント取引所リスク

ゲートニュース記事、4月27日――RAVEはRaveDAO (のWeb3ベースのカルチャー・コミュニティ・プロジェクト)におけるネイティブトークンで、2週間で110倍に急騰した後、4月19〜20日の2日間で98%下落し急落、韓国で悪名高い2007年のLubo株式の相場操縦スキャンダルとの比較が起きた。 4月18日、RAVE r

GateNews2分前

調査発表:Polymarketで3%のプレイヤーが30%の利益を獲得し、7割以上のプレイヤーがすべての損失を負担している

予測市場執行措置セキュリティインシデント

新しい研究の分析によると、Polymarket の 2023〜2025 年の取引記録では、熟練した勝者のうち 3.14% だけが 30% 超の利益を握っており、群衆(クローゼット)の貢献だけでは全体の精度を説明するには不十分です;同時に、1,950 名の高度に疑わしいインサイダー取引アカウントを追跡しました。これらは予測を主導してはいないものの、価格のボラティリティを拡大しました。個別事例では、米国がベネズエラの動向を公表する前に大口で賭けて利益を得ていたことが示されています。研究は「群衆の英知」に疑問を投げかけ、ますます厳格化する監督(規制)の必要性を強調しています。

ChainNewsAbmedia49分前

フランス、2026年の暗号資産投資家が40件超で誘拐被害—税務データ流出が関与

地政学執行措置セキュリティインシデント

Market Forces Africa が 4 月 27 日に報じたところによると、フランスでは暗号資産投資家に対する誘拐や暴力攻撃の事件が急増している。Telegram の創設者パベル・デュロフ(Pavel Durov)は X(旧 Twitter)上で、自 2026 年初頭以降に暗号資産投資家の誘拐事件を 41 件記録したと述べており、平均すると 2.5 日に 1 件発生している。さらに、フランスの税務データ流出と関連しているという。

MarketWhisper1時間前

湖北のサイバー治安警察官、二等功を受賞。70日で全省初の「億元」仮想通貨窃盗事件を解明

執行措置セキュリティインシデント

湖北日報 4 月 27 日の報道によると、武漢市公安局青山区分局のサイバー警察大隊所属の警察官である郭庭宇は、近日個人二等功を授与された。郭庭宇は華中科技大学で計算機(コンピュータ)専攻を卒業し、2023 年に公務員試験を通じて警察に入った。2024 年初め、湖北全省で最初の暗号資産(仮想通貨)窃盗事件を担当し、約 70 日にわたって捜査し解決した。事件に関わる資金は 1 億元を超え、容疑者 5 名はいずれも法律により制裁を受けた。

MarketWhisper1時間前

ライトコイン、MWEBプライバシーレイヤーのエクスプロイトを無効化するため深いチェーン再編を実行

執行措置セキュリティインシデント

ゲートニュース、4月27日 — ライトコインは土曜日に深いチェーン再編を行いました。攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことにより、(4月26日) 後の出来事だったとライトコイン財団が発表しました。この再編はブロック 3,095,930 から 3,095,943 にまたがり、

GateNews2時間前

中国、$140 百万超の暗号資産窃盗グループを壊滅させ、容疑者5人を逮捕

執行措置セキュリティインシデント

ゲートニュース、4月27日 — 中国湖北省武漢のサイバー犯罪部門は、偽のウォレットアプリを使用した暗号資産の窃盗グループを摘発し、調査の結果、違法な収益が1億元超 (およそ $14 百万)にのぼることが明らかになった。容疑者5人が

GateNews2時間前
コメント
0/400
コメントなし