日本の暗号通貨取引所から 1 億ドルが強奪される

** 本記事は、Japanese cryptocoin exchange robbed of $100,000,000 の翻訳です。最新の情報は英語記事をご覧ください。**

今週もまた、暗号通貨に対する大規模な攻撃が発生しました。

先週の記事は、中国の暗号通貨スマートコントラクト企業である Poly Networks 社が、約 6 億ドル相当のさまざまな種類の通貨を強奪されたというものでした。

現在進行中の武勇伝となっているこの強盗事件では、ミラビレ・ディクトゥ (mirabile dictu)と呼ばれるハッカーが、最終的に盗んだ暗号通貨をできるだけ多く返還することに合意したようです。

イーサリアムのブロックチェーン上で、Zero-Value Transaction (実際には送金のない送金履歴) の中に「追加データ」として送信された奇妙なメッセージの流れの中で、この泥棒は、博愛のために行動した、と強調しています。

Poly Networks 社から今では「Mr.White Hat」と敬意を表して呼ばれているこのハッカーは、「バグを公開する前に通貨を安全に保管しておいたので、他の攻撃者がバグを悪用して通貨を窃取できないようにした」と主張しています。

(バグを修正するコーディングの担当者は、バグを適切に修正するため必然的に、バグがどのように悪用されるかを知る必要があります。しかし、彼ら自身が犯罪者である可能性もあるため、一段上の高貴なサイバー犯罪によって、本当の犯罪者から通貨を保護する必要があった、と Hat 氏の主張からは読み取れます。)

通貨はまだすべては回収されていません。回収にはあと数日かかると予想されていますが、Poly Networks 社は最終的にそのほとんどを取り戻せると自信を持っているようです (協定世界時 2021 年 8 月 20 日 15 時現在)。

同社はまた、自社の負担にて「発生したスリッページの損失と手数料を補填する」予定だと述べています。

面白いことに、Poly Networks 社は Hat 氏に 160 イーサリアムコイン(現在の価格で約 52 万 5,000 円)の「報酬」を与え、チーフセキュリティアドバイザーとしてのポジションを提案しました。

さらに Poly Networks 社は、Hat 氏に返信した同社独自のブロックチェーンメッセージの中で、今後のシステムのアップグレードの共同承認者になってほしいとまで言っています。

さらに Poly Networks 社は、Hat 氏に返信した同社独自のブロックチェーンメッセージの中で、今後のシステムのアップグレードの共同承認者になってほしいとまで言っています。

(引用文日本語訳) 当社は、アップグレードを承認する場合に、Relay Chain バリデータ(バリデータ:データの入力内容や記述内容が要件を満たしているか、妥当性を確認する機能)のマルチシグネチャ(暗号資産管理においての多重署名方式)を使用することにしました。また、今後の当社の発展のために、あなたにもご協力いただきたいと思っています。もしご希望されるのであれば、あなたにもバリデータとして参加いただきたいと考えています。

一方、 Hat 氏は多くのブロックチェーンスパムメッセージを受け取っており、賞賛する人や中傷する人、さらには野次馬が入り混じって、Hat 氏に対して自らの気持ちや彼への期待を伝えています。

中には、「個人的な報酬を私に贈るとあなたは約束している。32 ETH を払ってほしい」などとで要求するコメントもあり、Hat 氏が以前働いていた会社の名前を知っていると主張し、その詳細を明かすと脅しました。

またこれに反して、Hat 氏が使う「全大文字スタイル」と文字の間隔をあえて無視して、「Nowitseems­thatmoneyis­stillveryimportant.­Stillsupportyou! (まだお金に執着しているのですね。変わらず応援してますよ!)」と書かれたコメントもありました。

真実は時に小説よりも奇なり、とはよく言ったものです。

悪事再び

悲しいことに、今週は暗号通貨取引プラットフォーム Liquidがハッカーの攻撃を受けました。

同社は勇敢にも、Web サイトの上部に暗号通貨の為替レートをいまだに表示していますが、その下部には注意喚起のお知らせが下記のように書かれています。

現在、すべての暗号通貨の入金は停止しています。追って通知があるまで、 Liquid ウォレットのアドレスに通貨を送金しないでください。

メインページの詳細情報のリンクをクリックすると、問題の規模を裏付けるかのように、さらにゾッとするような注意書きが表示されます。

(引用文日本語訳) 重要なお知らせ: #LiquidGlobal のウォームウォレットが侵害されたことをお知らせします。我々は資産をコールドウォレットに移しています。

現在調査を行っており、定期的にアップデートを行います。それまでの間、入出金は停止されます。

ホットウォレットとコールドウォレットの比較

「ホットウォレット」とは、いつでもアクセスできるウォレットのことです(この「ウォーム」 という言葉は、すぐに利用できるもののリスクがあることを表現しています)。

大雑把に言えば、ホットウォレットとは、オンライン取引に直接利用できる暗号通貨資産のファイルであり、必要な暗号パスワードや秘密鍵は、利用しているオンライン取引プラットフォームと共有されています。

対照的に、コールドウォレットはオフラインで保存され、暗号キーを自分で管理するものです。

コールドウォレットの設定では、マルウェアやハッカーがコンピューターに忍び込んでも、保管がオフラインでされているため、暗号通貨の隠し場所を構成するファイルにはアクセスできません。さらには、ファイルを隠したストレージデバイスが仮に侵入者に見つかったとしても、暗号化されているため使用することができません。

注: 上記を踏まえて、あなたのホットウォレットへのアクセス権を誰かに与え、その人があなたの資金を自らのコールドウォレットに移動させた場合、あなたの通貨がいつでもすぐにオンライン取引できる状態よりかは安全ですが、コールドウォレットはあなたのものではないため、コールドウォレットを作成した人は依然としてあなたの資金をコントロールできてしまいます。

暗号通貨のウォレットをソーシャルメディアへのアクセスと比較してみます。「ホットウォレット」を設定することは、他人のノートパソコンで Twitter や Facebook のアカウントに故意にログインし、必要な認証プロセスを経てすべてのアクセスを許可するようなものです。

そして、ログアウトせずに家に帰り、友人に「このリストにあるトピックをフォローして、そのトピックが表示されたら、このように発言してください。私のアカウントにログインしたまま、何か面白いことがあれば、私に代わってコメントしてください。」と言うのです。

これには友人を完全に信頼しなければなりません。直接的にも(たとえば、友人が悪意を持ってあなたの名前で無慈悲なコメントや攻撃的なコメントを投稿しないように)、間接的にも (たとえば、侵入者があなたのアカウントに遠隔操作でアクセスするためハッキングされないように) 信頼する必要があります。

今後の展開

残念ながら今のところ、Liquid をハッキングした犯人が、盗んだばかりの資金の返還を考えているという情報はありません (約 1 億ドル相当の価値があると言われています)

残念ながら今のところ、Liquid をハッキングした犯人が、盗んだばかりの資金の返還を考えているという情報はありません(約 1 億ドル相当の価値があると言われています)

特に今回のように被害額が大きい場合、ほとんどの取引所は盗まれたコインが送金された暗号通貨ウォレットを追跡し、盗まれた通貨を現金に戻したり、他の種類の暗号通貨にロンダリングするために使用される可能性のあるペイアウトをブロックリストに登録します。

しかし自分の暗号通貨が盗まれた場合、それが盗んだ泥棒たちの利益にならないからと言われても、まるで慰めにはならないでしょう。

財布を盗んだ犯人が、自分のためにお金を使う代わりに財布の中の紙幣に火をつけてしまったら、どちらにせよ結局あなたが損をするのですから。

対策

Poly Networks 社の資産が何の前触れもなく流出したことを受けて、ソフォスがこれまでにお伝えしている対策をもう一度ここに記載いたします。

  • 暗号通貨を始めようと考えている人は、失ってもいい金額以上の投資を絶対にしてはいけません。 現在、1 万種類以上の暗号通貨が存在していますが、その多くは初期の投資家が現金を投入して始まったものです。2010 年に数セントだった価値が 2021 年 8 月には 45,000 ドルにまで上昇したビットコインの値動きを、すべての仮想通貨が踏襲できるわけではありませんし、今後も踏襲するとは限りません。さらに悪いことに、「投資」の中には、暗号通貨の「創造者」が ICO(イニシャルコインオファリング)と呼ばれる方法で初期の投資家からスタートアップ資金を集め、新しい暗号通貨をまったく開発せずに逃げてしまうような、完全なる詐欺も存在します。
  • 暗号通貨を購入し保有する場合は、 できるだけオフラインのコールドウォレットと呼ばれるものに入れておくとよいでしょう。コールドウォレットとは暗号化されたファイルであり、追跡が可能で、パスワードを知らない限り他の人は使用できない保管場所です。

さらなる情報として、今週のポッドキャストではソフォスのエキスパートである Chester Wisniewskiが、Poly Networks 社のインシデントとオンラインの信頼性についての考察を行っています (暗号通貨のパートは 17 分 13 秒から始まります)。

今すぐ聞く

下記のスライダーをクリック&ドラッグして前後に進むことができます。暗号通貨のパートは 17 分 13秒からです。
Soundcloud で直接視聴することもできます。