Coinbase、「信じられない」シードフレーズ回復プロセスで批判される

Coinbaseの「信じられない」回復方法がセキュリティ上の懸念を呼び起こす

3月19日、ある上級セキュリティ研究者が、Coinbaseのウォレット回復機能がユーザーに完全なニーモニックシードフレーズをプレーンテキストで入力するよう求めることについて公に批判しました。ブロックチェーンセキュリティ企業SlowMistの創設者であるYu Xian氏は、この慣行をソーシャルメディアで「信じられない」と表現し、根本的なセキュリティリスクを強調しました。ユーザーにマスターキーをウェブフォームに入力または貼り付けさせることは、クリップボード攻撃、キーロガー、フィッシング詐欺にさらすことになり、シードフレーズを常にオフラインに保つという核となるセキュリティ原則を事実上無効にします。この設計選択は、デジタル環境を保護する責任を完全にユーザーに負わせるものであり、技術に精通した個人にとっても重大な失敗点となります。

シードフレーズの脆弱性により、1億7,600万ドルのビットコイン盗難が疑われる

露出したシードフレーズに関連する正確なリスクは、最近の英国高等裁判所の事例で明確に示されています。原告Ping Fai Yuen氏は、妻が監視カメラを密かに使用して彼のシードフレーズとウォレットの資格情報を記録し、約1億7,600万ドル相当の2,323ビットコインを盗んだと主張しています。裁判所文書によると、この資金は2023年12月に71の異なるアドレスに移動されました。この事件は、シードフレーズが視覚的に露出された場合に、物理的な近接性でさえどのように危険にさらされるかを示す劇的で現実世界の例を提供します。疑われる盗難は、ユーザーがマスターシークレットキーをいかなるデジタルまたは観察可能な形式でも開示することを要求しない回復プロセスの重要な必要性を強調しています。

業界はPasskey技術を用いた「シードレス」ウォレットへの移行を推進

ユーザーが管理するシードフレーズの固有の弱点に直接対応するため、業界はより堅牢な認証方法へと進んでいます。ビットコインインフラ企業Breezは最近、PasskeyログインをSDKに統合し、開発者が日常的なアクセスに従来の12単語フレーズに依存しない自己管理型ウォレットを構築できるようにしました。FIDO2 WebAuthn標準に基づくこの技術は、Face IDや指紋スキャンなどのデバイス上の生体認証を使用してユーザーを認証し、キーを派生させます。秘密鍵は、AppleのSecure EnclaveやAndroidのTitanチップなどのデバイスのセキュアハードウェアから決して離れることがなく、オンラインの脅威から保護されます。この変更は、なじみのあるデバイスレベルの保護を中心にセキュリティモデルを再構築し、自己管理を主流のユーザーにとってより安全でアクセスしやすくすることを目指します。