イーサリアム(ETH)がハッキング!?マイイーサウォレットやERC20が危ない?
はてブ
送るがハッキング!?マイイーサウォレットやERC20が危ない?){kind=link}
【イーサリアム(ETH)がハッキング!?マイイーサウォレットやERC20が危ない?】
とタイトルに記載しましたがイーサリアムは全く問題ありません。
①マイイーサウォレット(MEW)
②ERC20トークンの一部機能(batchTransferという機能を含んだトークン)に脆弱性が見つかり
トラブルが立て続いています。
以上のサービスを使用している方は注意が必要です。
暗号通貨の技術開発はまだ黎明期と言われており、今後もこのようなバグはいくつか出てくる可能性が高いです。
今回はイーサリアム関連サービスで起きたハッキング事件について紹介していきます。
MEW(マイイーサウォレット)のハッキング
イーサリアムを使っている方は恐らく「マイイーサウォレット」か「メタマスク」などを使っている方が多いと思います。
マイイーサウォレットはイーサリアムの管理やERC20 を使ったICOトークンの保管をすることが可能です。
送金する場合も便利なので私も重宝しています。今回はこのマイイーサウォレット(MEW)のDSNサーバーがハッキングされる事件が起きました。※マイイーサウォレットに問題があったわけではありません。
こうしたハッキング事件は今回に限らず、どんなサイトでも起こりうる攻撃の一種です。
サイトを作成する際にDSNサーバーの設定を行う必要があります。ウェブ系をサービスを使うには欠かせないものです。専門家ではない為、DNSサーバーに関して厳密に紹介はできませんが簡略化して説明すると、ドメインネームシステム(Domain Name System)の略称です。
これはドメイン(IPアドレスに覚えやすい名前を付けたもの)とIPアドレス(インターネット上の住所の様なもの)をリンクさせるものです。今回はこのDSNサーバーがハッキングされました。
今回の事象は正しいアドレスをアクセスしても、偽物のwebサーとに接続してしまうといった事象が起きたようです。こちら側で何度もURLを確認したけれども、分からない様に偽サイトにつながってしまっていたというのが今回の事象です。
「そんなん防ぎようはないじゃん!」と思ってしまいましたが、SSL認証がおかしいと表示された場合は必ずログインすることをやめましょう。「NOT secure」となっていたらだめです。SSL認証にもランクがあるので認証されているので絶対安全とは言えませんが、URLの上記の部分が緑色で「保護された通信」など記載が出来るものを選びましょう。
MEWを使用する際の注意点
マイイーサウォレットを使用する場合、一番良いのはハードウェアウォレットを使用することがおすすめです。
MEWを使用する際に「プライベートキー」を入力するのはやめましょう。利用する際に注意事項(英語)が必ず出てくるので、分かる方も多いと思いますが、PCがハッキングされている場合はプライベートキーを入力した時点でアウトです。自分の財布を盗まれたと同じ状況になる為、注意が必要です。
もし使用する際は「keystore」を使用してログインする方がまだ安全と言えます。
ただ、あくまで自分のPCがハッキングされていないという事が前提です。自分のPCがハッキングされていた場合はどうする事もできません。
ERC20トークンがハッキング?
ほとんどのICOはERC20を使用しており、有名なトークンだとEOSやTRONなどが該当します。今回の事象は「バッチ・オーバー・フロー(BatchOverFlow)」とよばれるバグが原因だそうです。
この流れを受けてOkex、Poloniex、Coinone、Hitbtcなどの取引所はERC20トークンの入出金を停止しています。
SNSなどでは全てのICO案件が危ないみたいなニュースが流れていましたがあれは誤りであり、batchTransferという機能を含んだものが問題であり、全てのICO案件が危険というわけではありません。
コードが分からない我々素人では防ぐことができないですが、バグが無いかを積極的に外部の人に判断してもらう「バウンティプログラム」を実施ているプロジェクトを選ぶことでこういったトラブルに遭遇する危険は少し減らすことができると思います。
また、ALISのICOで開発者の方が言っていましたが「外部の知識と経験のある方にとにかく問題がないかを徹底的に試してもらうことが大切」と言っていました。費用はかなりかかるようですが事前にこうした第三者のチェックを行っているかを運営元に確認するのもおすすめです。
過去のハッキング事件
The Dao事件が有名です。
これはThe DaoというICOプロジェクトに脆弱性が見つかり50億円以上のイーサリアム盗まれてしまった事件です。
The Daoとは『自律分散型投資ファンド』のことです。
参加するにはイーサリアムを購入し、それとThe Daoで発行するトークンを交換しファンドに参加します。
どこに投資するかなどは参加者の投票によって決まります。
投票先の意思決定に賛同できない場合は出資したトークンを自分のアドレスに戻すことができます。
こうした機能をSplitと呼びます。ハッカーはこの機能を狙い大量のイーサリアムを盗みました。
通常は自分のアドレスへの送金は送った分しかできませんが、送金のバグがあり何度もハッカーのアドレスにSplitを行い、気づけば50億相当のイーサリアムが盗まれていました。
この結果、イーサリアムがハードフォークしイーサリアムクラシックが誕生しました。
イーサリアムに関するニュース
前回の記事、【要チェック】イーサリアムやリップルは証券として扱われるのか?影響は?
でも紹介しましたがアメリカでイーサリアムが証券として認められる可能性がある事も念頭に置いておきましょう。証券扱いされれば価格などに大きな影響を与えると予想されます。
また、イーサリアムの発行枚数が決定するかもしれないとビタリック氏が発言していました。
もし発行枚数が明確になれば価格が上がる要因になります。更にプラズマの実装などニュースも出てきているのでビタリック氏のTwitterをフォローするなど、技術的な動きもチェックしていきましょう。
まとめ
いかがでしょうか?
今回のハッキング事件は防ぐことが難しい事件でした。
マイイーサウォレットに関しては、
SSL認証で保護された通信かどうかの確認。
ハードウェアウォレットなどを使い管理する事。
URLが間違いないかの確認。
PCがハッキングされていないか?セキュリティソフトをインストールしているか?
などができることでしょう。
ICOに関しては、
バウンティプログラムを実施しているか?
安全が確保されているコードを使用しているか?
バグを発見する為に様々な外部に依頼を行っているか?
などを運営元に確認したり、ホワイトペーパーを読むことができることだと思います。
なんにせよ今後もこのような事件は起こると思うので、少しずつリテラシーを高めて防御する術を増やしていきましょう。
関連記事 : セキュリティ面で定評のある仮想通貨取引所5選!
→SSL認証で比較的安全と判断された取引所等を紹介しています。
→ICOの問題点やなどを記載しています。
※今回の証券とみなされる問題にも関連した内容です。