TechFlowの報道によると、8月9日、Cointelegraphはセキュリティ研究者によって「Dark Skippy」と呼ばれる攻撃手法が発見されたと伝えた。この手法により、ハッカーはわずか2回の署名取引を通じてビットコインハードウェアウォレットから秘密鍵を抽出できる可能性がある。この脆弱性はすべてのハードウェアウォレットモデルに影響を与える可能性があるが、攻撃者が被害者を騙して悪意あるファームウェアをダウンロードさせることが前提となる。
この研究報告書は、Frostsnap共同創業者のLloyd Fournier氏とNick Farrow氏、およびビットコインプロトコルZeroSyncやBitVMの共同開発者であるRobin Linus氏らによって8月5日に公開された。報告書では、ハードウェアウォレットのファームウェアがユーザーのニモニックフレーズの一部を、「低エントロピーの秘密乱数」に埋め込むようにプログラミング可能であり、これらの乱数は取引の署名に使用されると指摘している。取引が承認されると、生成された署名はブロックチェーン上に公開されるため、攻撃者はブロックチェーンをスキャンしてこれらの署名を検出し記録することが可能になるという。
これまでにもビットコインウォレットの脆弱性により、ユーザーは重大な損失を被っている。2023年8月、SlowMistはLibbitcoin Explorerライブラリの脆弱性により、90万ドル相当のビットコインが盗まれたと報告した。同年11月には、UncipheredがBitcoinJSウォレットソフトウェアの脆弱性により、21億ドル相当のビットコインが攻撃者によって移動されるリスクにさらされていると報告している。




