イーサリアムのウォレットで脆弱性、少なくとも170億円を喪失

真田雅幸
2017-11-09
(
Thu
)
parity-picops

イーサリアムのウォレットを提供するクライアントの1つParity(パリティ)は、マルチシグ・ウォレットに深刻な脆弱性を発見したと発表した。Parityによると、今回の脆弱性の影響を受けるユーザーは、7月20日以降にParityのウォレットをインストールしたユーザーで、ウォレット内のイーサリアムが凍結されている可能性が高いという。今回の脆弱性によって少なくとも616,000イーサ(ETH)が凍結された模様だ。

https://twitter.com/paddyucl/status/927889557189726208

ParityのMuti-sig walletに預けられたイーサーリアムは、1つのLibrary(アドレス)で管理されていた。今回の脆弱性では、どのユーザーでもこのLibraryのオーナーになることが可能で、さらにLibraryにあるイーサを凍結することができてしまった。

今回の首謀者は、@devops199というニックネームでGithubアカウントを持つユーザーのようだ。@devops199は偶然にParityのウォレットの脆弱性を見つけたと証言している。元々は調査のつもりでParityのウォレットを調べていたら、偶然ウォレットのオーナーになり、偶然にイーサを凍結してしまってたと語っている。

今回のウォレットの凍結に至るには、2つのファンクションを実行する必要があった。 “initWallet”と呼ばれるファンクションで自身をLibraryのオーナーにし、 “kill”でウォレットのイーサーを凍結する。ここで疑問なことが、2つの偶然が重ならない限りこの事象は起こり得なかったということだ。今回の事象を銀行に例えると、空いていた銀行に偶然侵入し、偶然に火を付けてしまいすべてのお金を燃やしてしまったようなものだ。

スマートコントラクトの危険性

@devops199の今回の行動の真意はわからないが、スマートコントラクトの脆弱性がもたらす危険性を改めて認識するべきだろう。一年前のイーサリアムのプラットフォームを使ったThe DAOの脆弱性をハッカーが攻撃した時も多くの人が資産(イーサ)を失った。今回のスマートコントラクトの脆弱性により失われたイーサは、ハードフォークをしてロールバックする以外に取り戻す方法がない。意図していないルールであっても、一度決めたルールを簡単に取り消すことができないのがスマートコントラクトの強みでもあり、弱点にもなり得る。

スマートコントは、問題なく機能すれば我々の社会に大きな利便性をもたらす可能性がある。一方スマートコントラクトの実用は、まだまだ実験段階である。Parityは7月に今回とは別の脆弱性を発見し、ウォレットのアップデートをしていたが、今回の脆弱性には気付いていなかった。いかにスマートコントラクトのプログラミングが複雑で、動かすことが困難であるかを物語っている。

Medium

No items found.
著者
真田雅幸
マーケット・アナリスト

decentralize システムに興味あり。仮想通貨リサーチャー。 大学で経済学を学び仮想通貨にフリーマーケットの可能性を見る。

decentralize システムに興味あり。仮想通貨リサーチャー。 大学で経済学を学び仮想通貨にフリーマーケットの可能性を見る。
MARKETSとビットバンクについて

bitbank MARKETSは国内暗号資産(仮想通貨)取引所のビットバンクが運営するマーケット情報サイトです。ビットバンクは日本の関東財務局登録済の暗号資産(仮想通貨)取引所です(暗号資産交換業者登録番号 第00004号)。

販売所について

ビットバンクの販売所なら、業界最狭クラスのスプレッドでお好みの暗号資産(仮想通貨)をワンタップで購入できます。

取引所について

ビットバンクならシンプルで軽量、しかも高い機能性を備えたスマートな暗号資産(仮想通貨)取引所で本格的トレードも可能です。

豊富な機能を持つ、
安定したビットバンクのアプリ。
外出先でも取引のチャンスを逃しません。
ビットバンクで暗号資産をはじめよう!
無料口座開設はこちら
新着記事
VIEW ALL
新着記事
VIEW ALL
市況・相場分析
VIEW ALL
調査レポート
VIEW ALL

ニュース速報

VEIW ALL