
慢雾:Replit プラットフォームを使用してウォレットを登録することによるニモニックの漏洩に注意
TechFlow厳選深潮セレクト

慢雾:Replit プラットフォームを使用してウォレットを登録することによるニモニックの漏洩に注意
このような攻撃は極めてコストが低く、攻撃者は基本的な検索およびスキャン技術を習得するだけで攻撃を開始できる。
執筆:耀
背景
最近、ある被害者がスローミストセキュリティチームに連絡し、オンラインプログラミングプラットフォーム「Replit」を使用してAtomicalsプロトコルのウォレットを作成し、順次ATOM(Atomicalsプロトコルで発行されたARC20トークン)を送金した結果、90,000個のATOMを盗まれたと報告しました。被害者の説明によると、秘密鍵/リカバリーフレーズがウェブページ上でコピー&ペーストされたことで情報が漏洩したとのことです。
Replitによるウォレット作成の分析
「atomicals-js (https://github.com/atomicals/atomicals-js)」は、Atomicals公式がGitHub上に公開しているコマンドラインインターフェースおよびJavaScriptライブラリであり、ユーザーがJavaScriptを使ってAtomicalsと簡単にやり取りできるようにするものです。

Replitは有名なオンラインプログラミングプラットフォームで、Web版IDEとしてPython、JavaScriptなど複数のプログラミング言語をサポートしており、ブラウザ上で直接コードを書いたり、プロジェクトをすばやく開始したり、コードを共有したりといった機能があります。

微博、Twitter、YouTubeなどのプラットフォームでは、ARC20ウォレット登録に関するチュートリアルが多数存在します。

しかし、これらのチュートリアルの中には、Replitを使用してatomicals-jsプロジェクトをオンラインでデプロイし、ウォレットを生成してATOM ARC20トークンを入金する方法について解説したものもあります。

(https://weibo.com/ttarticle/p/show?id=2309404950524427632902)

同様のチュートリアルはARC20新規プロジェクトへの参加手順に限定されるわけではありませんが、いずれもReplitプラットフォームの使用を推奨しています。

Replitプラットフォームは公開性が高いという特徴があり、そこでデプロイされたコードはすべて公開され、誰でもアクセス可能です。atomicals-jsプロジェクトをデプロイして実行すると、プロジェクトディレクトリ内にwallet.jsonファイルが生成されます。このファイルには、生成されたリカバリーフレーズ、秘密鍵、アドレスなどの機密情報が含まれています。

注目すべき点は、簡単な検索またはGoogle Hackingなどの技術を利用することで、atomicals-jsを使用してReplit上で実行されているプロジェクトを簡単に見つけることができ、その中にwallet.jsonファイルが含まれている事例も容易に発見できることです。

したがって、このようないわゆるチュートリアルに従ってウォレットを作成することは極めて高いリスクを伴います。機密情報を含むコードを、公開アクセス可能なプラットフォーム上で実行することは避けるべきです。特に暗号資産ウォレットや秘密鍵に関わる場合は、より安全で信頼できる環境を選んでウォレットを生成・管理することが重要です。
悪意あるアドレスの分析
MistTrackによる分析の結果、被害者は9月23日に複数回にわたってATOM(被害者の話では合計98,000個)を新しく作成したARC20ウォレットアドレス「bc1pt046u0mew4yq83ftwrp3eqfalvf8d6g6lncnmnf3l4zaaalpl54qwvxuqp」に送金していましたが、これらのトークンは9月24日にハッカーのアドレス「bc1psanyvngxqgwxcssfwryl8mva7em4pmp37jcck2m67xtux8l887js7ezvev」へ転送されていました。


https://satsx.io/ で照会したところ、現在ハッカーが盗んだATOM ARC20トークンのうち、まだ68,000個が移動されていない状態であることが確認できます。

まとめ
本稿で紹介した攻撃手法は非常にコストが低く、攻撃者は基本的な検索やスキャンスキルさえ持っていれば簡単に攻撃を仕掛けることができます。スローミストセキュリティチームはここに注意喚起します。万が一Replitを使ってウォレットを作成してしまった場合、直ちに関連資金を移動させ、機密ファイルを削除してください。また、未知のWebプラットフォーム上で生成したウォレットやリカバリーフレーズを使用する際は、常に警戒を怠らないでください。スローミストセキュリティチームは、ユーザーがセキュリティ監査済みで信頼できる有名なウォレットサービスを利用するよう推奨しており、これにより情報漏洩リスクを低減できます。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










