ウォレット開発者、大胆なハッカーに 430,000 BTC を奪う”オンチェーン報奨金”を提供

Zengo Walletは、最大10BTCを含むウォレットアドレスを公開し、その作成に使用された3つのセキュリティ要素のうち2つも公開します。

Zengo Walletの開発者は、バグ報奨金を提供するという珍しいアプローチを採用しています。同社は、脆弱性を発見するホワイトハットハッカーに報酬を支払う代わりに、開発者が管理するアカウントに10ビットコインBTC$43,823（現在の価格で430,000ドル以上相当）を預けています。1月7日の発表によると、ビットコインを流出させることに成功したハッカーはビットコインを保持することが許可されるといいます。

Zengo Walletのインターフェース。出典:Zengo Wallet

報奨金は、1月9日に始まり、1月24日の朝まで15日間にわたって提供されます。1月9日にアカウントのアドレスが公開され、そのアドレスには1BTC(約43,000ドル)が含まれます。1月14日、Zengo氏はアカウントにさらに4BTC（172,000ドル）を追加し、アカウントを保護するために使用される”セキュリティ要素”の1つを提供します。1月21日、チームはさらに5BTC（215,000ドル）を追加し、ウォレットに保持されている合計金額は10BTC（430,000ドル）になります。現時点では、2番目のセキュリティ要素も明らかにする予定です。ウォレットは合計3つのセキュリティ要素を使用します。

2番目の要素が明らかになった後、ハッカーは1月24日午後4時(UTC)までにウォレットをクラックする必要があります。この間に誰かがウォレットをクラッキングできた場合、10BTCを保持することが許可されます。

Zengo氏は、”シードフレーズの脆弱性がない”ウォレットであると主張しています。ユーザーは最初にアカウントを作成するときにシードワードをコピーするように求められず、キーコンテナーファイルはウォレットによって保存されません。

公式ウェブサイトによると、このウォレットはトランザクションの署名にマルチパーティコンピューテーション(MPC)ネットワークを利用しています。秘密キーを生成する代わりに、ウォレットは2つの別々の”秘密共有”を作成します。最初の共有はユーザーのモバイルデバイスに保存され、2番目の共有はMPCネットワークに保存されます。

ユーザーの共有は、3要素(3FA)認証方法によってさらにバックアップされます。共有を回復するには、GoogleまたはAppleアカウント上の暗号化されたバックアップファイルと、ウォレットアカウントの作成に使用したメールアドレスにアクセスできる必要があります。さらに、モバイルデバイスで顔スキャンを受ける必要があります。これは、シェアを再構築するための3番目の暗号化要素を構成します。

Zengo氏によると、MPCネットワークのシェアをバックアップする方法も存在するといいます。同チームは、第三者の法律事務所に”マスター復号キー”を提供したと主張しています。MPCネットワークのサーバーがオフラインになった場合、この法律事務所は復号キーをGitHubリポジトリに公開するよう指示されています。キーが公開されると、アプリは自動的に”回復モード”に入り、ユーザーは自分のアカウントに対応するMPCネットワークの共有を再構築できるようになります。ユーザーが両方の共有を取得すると、従来の秘密キーを生成して競合他社のウォレットアプリにインポートし、アカウントを復元できるようになります。

Zengo氏の最高マーケティング責任者エラッド・ブライスタイン氏はコインテレグラフへの声明で、オンチェーン報奨金が仮想通貨コミュニティにおけるMPCテクノロジーに関する議論の促進に役立つとの期待を表明しました。”MPCやTSSのような複雑な用語は過度に抽象化される可能性があります”とブライシュタイン氏は述べています。”Zengo Walletチャレンジでは、従来のハードウェア代替品に対するMPCウォレットのセキュリティ上の利点が強調され、参加者との活発な議論を楽しみにしています。”と、付け加えました。

アトミックウォレットの侵害により仮想通貨ユーザーに100,000,000ドル以上の損失が発生したため、ウォレットのセキュリティは過去1年間で仮想通貨コミュニティにおける懸念が高まっています。開発者は後に、アプリの将来のセキュリティを確保するためにバグ報奨金プログラムを開始しました。Libbitcoin Explorerウォレットライブラリのユーザーも、2023年にハッキングによる900,000ドルの損失を報告しました。