ハードウェアウォレットへの批判
オンチェーン調査者のZachXBTは、ハードウェアウォレットに対して厳しい批判を展開し、ユーザーが重要な取引の署名や大量の暗号通貨の保管にそれらを頼るべきではないと主張しています。Telegramの投稿で、ZachXBTはハードウェアウォレットを「完全なゴミ」と表現し、重要な作業に使用することを勧めないと述べました。代わりに、暗号資産の管理専用のiPhoneを使用することを提案しました。
Ledgerへの批判
ZachXBTは、最大手のハードウェアウォレットメーカーの一つであるLedgerに対して最も強い批判を向け、「最悪」と呼び、Ledger Liveの頻繁なアップデートが基本的な機能に干渉する可能性があると主張しました。彼は、現在のハードウェアウォレットが重要な取引の署名や大量の資産の保管に適していないと考えていると述べました。
ZachXBTは、Ledger Liveが「良い理由もなくUIやアプリのために定期的にアップデートされ、簡単な操作を壊す」と述べました。
このコメントはZachXBTの個人的な評価を表していますが、彼はLedgerデバイスが新たなセキュリティ侵害を受けた証拠や、プライベートキーの保護が侵害された証拠を提供していません。Ledgerはその後、Ledger Liveの名称をLedger Walletに変更しました。会社の公式リリースノートによると、Ledger Walletバージョン4.8.0は6月11日にリリースされ、セキュリティの改善、インターフェースの変更、軽微なバグ修正が行われました。
ソーシャルエンジニアリングのリスク
ZachXBTの提案は、暗号取引専用のスマートフォンを使用するという異なるアプローチを取っています。この批判は、攻撃者がソーシャルエンジニアリングや偽のアプリケーションを通じてハードウェアウォレットの所有者をターゲットにし続けている中で行われています。これらの攻撃は、物理的なウォレット自体のセキュリティを破ることを必ずしも含むわけではありません。
以前、crypto.newsが報じたように、ある暗号保有者は、ハードウェアウォレットのソーシャルエンジニアリング詐欺により、1月に282百万ドル以上のビットコインとライトコインを失いました。
ZachXBTは、攻撃者が盗まれた資金を迅速にいくつかのサービスを通じて移動させ、その一部をモネロに変換したと報告しました。この事件は、攻撃者がユーザーをターゲットにする方法を示しており、物理的なハードウェアウォレットの技術的なセキュリティを直接侵害することなく行われます。ソーシャルエンジニアリングは、被害者に機密情報を明らかにさせたり、犯罪者が資産を支配できる行動を取らせたりすることを試みます。
偽のアプリケーションの脅威
Ledgerユーザーは、公式の会社製品を偽装したソフトウェアによる攻撃にも直面しています。このようなケースは、物理的なハードウェアデバイスが設計通りに機能し続けている場合でも、セキュリティリスクを生じさせる可能性があります。4月には、AppleのApp Storeに掲載された偽のLedger Liveアプリケーションが、1週間で50人以上の被害者から少なくとも950万ドルを盗みました。
詐欺アプリケーションはLedgerのブランドをコピーし、会社のウォレットソフトウェアを探しているユーザーに表示されました。被害者は、偽のアプリケーションにリカバリーフレーズを入力し、攻撃者がウォレットを支配できるようにしました。
盗まれた資産にはビットコイン、イーサリアム、ソラナ、トロン、XRPが含まれていました。Appleは後に詐欺アプリケーションをストアから削除しました。
ZachXBTの提案とリスク
ZachXBTの専用iPhoneの推奨は、日常のブラウジング、メッセージング、その他のオンライン活動のためにデバイスを使用することに関連する一部のリスクを軽減するでしょう。しかし、スマートフォンは依然としてそのオペレーティングシステム、インストールされたソフトウェア、バックアップの実践、ユーザーのセキュリティ習慣に依存しています。
この議論は、暗号の自己保管に対する異なるアプローチに帰着します。ハードウェアウォレットは、プライベートキーを一般的なインターネット接続デバイスから隔離することに重点を置いています。ZachXBTは、暗号専用の電話を使用することで厳格なデバイスの分離を支持しています。いずれの場合でも、ユーザーはフィッシング、偽のアプリケーション、露出したリカバリーフレーズ、ソーシャルエンジニアリングからのリスクに直面する可能性があります。