Help us understand the problem. What is going on with this article?

暗号通貨にまつわる事件/障害事例まとめ

はじめに

こんにちは、最近Javaをやり始めた @MomokoAsai です。
今回は業務に全く関係ない『暗号通貨』についてです。

事件/障害事例...なんて言うとネガティブに取られるかもしれませんが、そんなことはありません!
先人が歩んできた道をしっかりと把握することで、いざ自分がという時のためになれればと思っています。

事件の種類

種類を大きく分けると、4つくらいに分けられそうです。

  1. 取引所のカウンタパーティリスク(GOX)
    取引所を運営する会社が経営難に陥る/詐欺会社だった/ハッキングに合う など

  2. スマートコントラクトの脆弱性
    スマートコントラクトの仕様欠陥/スマートコントラクトのコード脆弱性 など

  3. アプリケーションやプロジェクトの脆弱性
    DAppの脆弱性/ICOのランディングページの脆弱性 など

  4. スキャム
    ICOのバックレ/運営チームを偽った連絡 など

その中でも、Ethereumを使ってICOを行う場合に
知っておきたい過去事例を数個列挙してみました。

事件/障害事例、PICK UP

Parity脆弱性

事件の話しの前に少し、Parityについて説明します。
ParityはEthereum Clientの1つです。
Ethereum Clientを使うことで、Ethereumノードを実行し、EthereumのP2Pネットワークに参加出来るようになります。

簡易イメージ図.png

Ethreumネットワークの状況が見れるダッシュボードの「Node type」欄で、利用者がどのClientを利用しているかがわかるのですが、
少し見ているだけでもParity利用者は多いことがわかります。
このEthereumClientの脆弱性により、「Swarm City」や「Edgeless Casino」といったDAppが被害を受け
約34億円相当のETHが盗まれました。
該当箇所の差分はこちらです:github commit①github commit②

TheDAO事件

スマートコントラクトの脆弱性により、約43億円相当のETHが盗まれた事件です。TheDAOのスマートコントラクト制約と脆弱性を上手くつかれ、通貨がドンドン吸い取られた事件でした。
これによりEthereumは、「Ethereum」と「EthereumClassic」の2つのブロックチェーンに分裂することとなりました。

  • Ethereum:盗まれたことを無かったことにするロールバックを実施
  • EthereumClassic:そのまま履歴を残す。非中央集権の概念の尊重

スマートコントラクトの脆弱性の仕組みについては、「DAO」や「The DAO」の知識が必要になるため、ここでは割愛します。公式アナウンスには、該当箇所のコード付きで説明があります。

Dash

ICOのランディングページハッキングにより、約8億円弱相当のEHTが盗まれた事件です。
まだ取引所で扱われていないDashの通貨を投資家に購入してもらうために用意されているethr送金用アドレスが、
ハッキングにより偽アドレスに改竄されたことで起こりました。

ParityやDAOとは違い原始的な手段でのハッキングですが、結構な額が吹っ飛んでます。

ICOのslackコミュニティのフィッシング詐欺

ICOをした運営企業が、ICO参加者との公式コミュニティツールとしてslackを利用していることが多いのですが、
slackで直接トークが来たり、slackbotを使ったりと「運営チームを装ったフィッシング詐欺」が多発しています。

  • ウォレットのアドレスが書いてあり、送金を促されるメッセージが送られてくる
  • URLが送られ、クリックするとウォレットのロックを外す指示が表示される(秘密鍵を取ろうとしている)

誰も信じられないですね。

その他事件/障害事例

そのた、Ethereum、ICO関連以外も合わせていくつか上げてみました。
2017/12/17現在の情報です。

サービス サービスレイヤー 内容
Mt.Gox 取引所 Mt.Goxのホットウォレットの秘密鍵を不正入手され、総額40億ドル相当のBTC被害
参考記事

❐ 対応
・ Mt.Goxは破産
・ 払い戻しなし
BitFloor 取引所 取引所のバックアップにあった、暗号化されていない秘密鍵を入手され当時で約25万ドル円相当のBTCを盗まれる参考記事
ShapeShift アプリケーション 機密セキュリティプロトコル情報を知っている内部従業員の裏切りによりETHが盗まれ、さらに情報を外部にながれたことで、総額約23万ドル相当のETHが盗まれる
参考記事

❐ 対応
・従業員の解雇
・新たなセキュリティープロトコルを構築し、サービス再開
Bitfinex 取引所 セキュリティプロバイダBitGoをサードパーティとして使用したマルチシグウォレットの脆弱性により、777億円相当のBTCが盗まれる
参考記事

❐ 対応
・アプリケーション側コードの修正
・ユーザーに対する損失保証の対応策を発表、USDで償還可能なBFXトークンで返金
Poloniex 取引所 Poloniexの出金処理コードの脆弱性をつかれ、約55万ドルが盗まれた
参考記事

❐ 対応
・被害ユーザーへのBTC返済
Parity EthereumClient マルチシグウォレットに脆弱性が見つかり、616,000イーサ(ETH)が凍結された
参考記事
参考記事

❐ 対応
検討中
NiceHash マイニング用のツール NiceHashのBitcoinウォレットがハッキングされた。原因や被害額は現在調査中
参考記事
Showtime 暗号通貨関係ない一般のサイト 動画配信サイトに、マイニングを勝手に行うscriptが埋め込まれていた。動画閲覧者のパソコンCPUリソースの60%が不当に使われていたもよう

参考記事

まとめ

ブロックチェーン技術は、「公開鍵暗号方式による電子署名」・「分散型アプリケーション」・「コンセンサスアルゴリズム」といった仕組みを使うことで、改竄されにくい仕組みを実現していますが、
利用する側の脆弱性は変らず健在しています。
また、まだ発展途上な業界でもあり、ソースコードの変更は激しいです。
ブロックチェーンを使ったアプリケーションを実装される方は 「バグを見つけてくれたら報酬上げます」くらいに、
レビューを念入りに行ったほうが良いかもしれませんね。

過去の出来事や事例知って、対策や備えをしていきましょう!!!そして、素晴らしき暗号通過ライフを送りましょう!!

Why do not you register as a user and use Qiita more conveniently?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away