午前2時、携帯電話の画面が突然明るくなった——オンチェーン監視ツールが狂ったように、22件の送金記録が瞬時に画面に表示された。4万以上のメインストリームトークンが一斉に移動し、ざっと計算すると24億ドル近い規模になる。

さらに奇妙なのは、この資産の移転権限が元の保有者の手の中に全くないことです。

アメリカ司法省は、これらのアドレスの秘密鍵を取得しましたが、従来のハッキングやフィッシング手段を通じてではなく、計算能力で「ハード計算」して得たものです。ソーシャルエンジニアリングの詐欺も、マルウェアの埋め込みもなく、純粋な数学的なブルートフォース攻撃です。このニュースは私を完全に目覚めさせました。

業界に入って8年、こんなことは初めて遭遇した。急いで技術系の友人に確認して、夜明けまであれこれやってやっと問題の所在が分かった：

この問題のあるアドレスは、2020年から2021年の間に古いバージョンのウォレットで作成されたものです。具体的なバージョンは？imToken 2.8.1とTrust Wallet 5.14——そう、この2つはすでに歴史の舞台から退場したバージョンです。これらには致命的な設計欠陥が埋まっています：乱数生成器の強度が不十分で、エントロピーは112ビットにしか到達していません。

112ビットは大きいと感じる人もいるかもしれません。しかし、業界で認められている安全のボトムラインは128ビットで、最高の基準は256ビットです。この間の差はどれほど大きいのでしょうか？例えるなら、112ビットは8桁の純数字をパスワードとして使用するようなものであり、256ビットは32桁の混合文字に相当します——大文字、小文字、数字、記号がすべて含まれています。

技術チームによる実測結果があります：クラウドコンピューティングの算力をレンタルし、約3.2万ドルを投入すれば、2の32乗という数量の組み合わせ空間を受け入れ可能な時間内に遍歴できます。言い換えれば、このレベルの「保護」は専門設備の前では無意味です。

この事は全員に警鐘を鳴らしました――資産をコールドウォレットに置いておけば安全だと思わないでください。もし基盤となるツール自体に欠陥があれば、どんなに注意しても無駄です。すぐに自分が使っているウォレットのバージョンを確認してください。アップグレードが必要な場合はすぐにアップグレードし、移行が必要な場合はためらわないでください。結局、実際に問題が発生したら、後悔しても遅いのです。