Android版「HB Wallet」で盗難事件 犯人は前任のチームリーダー

日本のベンチャー企業のbacoor(バコオアー)が公開している、仮想通貨を安全に管理できるAndroid版のEthereum用ウォレット「HB Wallet」で盗難が発生し、ユーザーのEthereumなど約6,000万円相当の被害が出ています。

HB Walletとは

HB Walletは集中管理するタイプのウォレットとは異なり、ユーザー情報やウォレットデータ、秘密鍵などを外部に送信せず、ユーザーの端末のみに保存するEthereumとEthereumトークン用の仮想通貨ウォレットです。

そのため、サーバへのハッキングによる盗難被害は起きないことから「安全」となっていました。2018年3月には、AndroidとiOSで合計10万ダウンロードを達成しました。

犯人は元社員

bacoorによれば、犯人は前任のHB Walletのチームリーダーと述べています。犯人が退職する際、api keyを保存している端末を返却させ、初期化を行いました。そのため、犯人はGoogle Play Store Consoleのapi keyを持っていない状態と判断していたようです。

しかし犯人はapi keyを所持しており、ユーザーのメインアカウントのアドレスと※パスフレーズを外部に送信する機能を備えた不正なアプリを遠隔でリリースし、ユーザーの仮想通貨を盗み出していたされています。

※パスフレーズとは
ユーザーの本人確認を行う時に用いる文字列の一種で、パスワードよりも長いものです。覚えやすいようにと、いくつかの単語に区切ったフレーズを設定することが多いため、このように呼ばれるそうです。

被害額は最高6,000万円

今回13のアドレスが被害を受け、約6,000万円相当のEthereumと約12万円相当のTronixが盗まれました。bacoorは犯人に返却させており、返却された資産はコールドウォレットで厳重に管理しているようです。

bacoorの代表である奥田雄馬氏が被害者の元へ直接訪問し、全資産を返却するとしています。そして、犯人を刑事告訴すると述べています。

2つの過失

bacoorは2つの過失を認めています。

1つ目は「チームリーダーが交代した時点で、すぐに古いapi keyを無効にしなかったこと。」
2つ目は「不正アプリがリリースされたことをすぐ検知できなかったこと。」

これらの抜本的な対処法についてbacoorは検討しているようです。
今後、同様の問題を防ぐためにアプリをリリースできるユーザーを制限して、正常なアプリをリリースしました。その後、最新版も公開されています。

最新版になったことで秘密鍵が流出する可能性はないと言われていますが、過去に流出したことがあるため、ユーザーには外部ウォレットやiOS版HB Wallet、デスクトップ版HB Walletなどに新規アカウントを作成して仮想通貨を送信するよう呼び掛けているようです。

まとめ

仮想通貨ウォレットアプリで盗難事件が発生しました。日本のベンチャー企業のbacoorが公開している Android版のHB Walletで、被害額は最高で6,000万円と言われています。犯人は、前任のチームリーダーのようで、全ての返金をしているようです。仮想通貨が絡んだ事件はいたるところで起きているため、目が離せません。

仮想通貨ウォレット「Ginco」 SentinelProtocolと提携してセキュリティ強化

2018.05.03