Svmuuニュース:Ledger傘下のセキュリティ研究チーム「Donjon」は、MediaTekプロセッサのセキュアブートチェーンに存在する脆弱性を発見した。攻撃者は、スマートフォンに物理的に接触し、USB接続を通じてOSの起動前に暗号鍵を抽出することで、デバイスのストレージを復号化し、約45秒以内にデバイスのPINコードや暗号ウォレットのリカバリーフレーズを取得できる。実証実験では、この脆弱性を利用してTrust Wallet、Kraken Wallet、Phantomなどのウォレットアプリから機密データを抽出することに成功した。研究者によると、この脆弱性はMediaTekチップおよびTrustonicのTEE(Trusted Execution Environment)を採用した機種に影響を及ぼす可能性があり、Androidスマートフォンの約25%が対象となるという。Ledgerの最高技術責任者(CTO)であるCharles Guillemet氏は、スマートフォンはもともと金庫として設計されたものではないとし、この脆弱性はパッチで修正可能であるものの、セキュリティ対策が不十分なデバイスに鍵を保存することには固有のリスクがあることを示していると指摘し、ユーザーに対し、セキュリティパッチを早急に適用するよう推奨している。 TRM Labsのデータによると、2025年上半期に盗まれた21億ドルの暗号資産のうち、80%以上が秘密鍵の盗難、ニーモニックフレーズの窃取、フロントエンドのハイジャックなどのインフラ攻撃に起因している。Chainalysisのデータによると、2024年通年の暗号資産盗難による損失は34億1000万ドルを超え、個人ウォレットからの盗難が占める割合は2022年の7.3%から2024年には44%に上昇した。