本記事は公式発表に基づく。東京に本社がある暗号通貨取引所のコインチェック社は史上最高額と見られる資産が盗まれる被害を受けた。本件は終結していないが、これまでに分かったことをお伝えする。
今回の事件は史上最大の暗号通貨取引所への不正侵入だ
記者会見でコインチェック社の幹部は、ハッカーが時価で約5億3000万ドルに相当する5億NEM以上を盗み出して逃亡したことを正式に認めた。だが日経ヴェリタス誌が記者会見場からツィートしたところによると、盗まれた資産の正確な額は当局の詳しい調査が行われるまで不明とのことだ。
コインチェック社への不正侵入は、暗号通貨取引所への不正侵入で盗まれた金額としてはマウントゴックスを抜いて史上最高額となった。マウントゴックスの窃盗犯は約850,000ビットコイン、当時の価格で4億5000万ドル相当を盗み去った。
確かにマウントゴックスの不正侵入は暗号通貨市場全体に占める窃盗額の割合としては今回よりも大きいものだったが、コインチェック社は純粋な金額としては暗号通貨取引所の窃盗額として史上最高額という不名誉に浴することとなった。
この記事の執筆時点で、ハッカーは30万XEMのトークンを別のアドレスに移動させたとのことだが、他の取引所が資金を受け入れることのないように警告するモザイクのフラグが立てられている。
コインチェックのハッカーは交換所のネムウォレットだけを盗んだ
コインチェック社の幹部は今回の不正侵入で被害にあったのはコインチェック社のNEMウォレットだけでそれ以外の資金は安全な状態にある、と話している。
最初の報告ではハッカーが複数のウォレットに侵入したかのように思われたため、この話を聞いた多くの投機家は安心した。リップルの台帳モニターは、1億1000万ドルのXRP取引がコインチェックから、現時点で30億ドル以上のXRPを保有している不明なウォレットに送金された、と警告した。
しかし、この取引は今では、NEMウォレットへの侵入の後でコインチェック社が安全対策のために実施したものだと考えられている。
NEM財団の幹部は、今回の不正侵入はXEM暗号通貨の安全性自体とは無関係であり、責任はすべてコインチェック社にある、と強調している。
コインチェック社はホットウォレットにお金を貯めすぎていた
CCNの報告によると、コインチェック社の幹部は記者会見で、資金の大部分を「ホットウォレット」に保管しており、このホットウォレットはハッカーが会社が保有するサーバーに侵入すれば危険にさらされることを認めた。
不正侵入が頻繁に発生するようになったため、信頼できる暗号通貨取引所では資金の大部分を「コールドウォレット」、つまり安全な場所にオフラインで保管している。
コインチェック社は「弊社ではコールドウォレットを運用するのは難しかった」と述べているが、それが最近の暗号通貨取引所での窃盗よりもはるかに多額の資金が被害にあった理由だ。
さらに悪いことに、コインチェック社ではNEMのマルチシグネチャー・スマート・コントラクト・システムを実装していなかった。これが実装されていれば安全を確保するレイヤーがウォレットに追加されていたであろう。
NEMは盗まれた資金を取り戻す目的で分岐するつもりはない
今回の不正侵入ではXEMの全流通額の大部分が被害にあったため、2016年のDAO事件でイーサリアムが行ったようにNEMを分岐させてハッカーから資金を取り戻すのではないか、との憶測がすぐに流れた。
しかし、NEM財団理事長のロン・ウォン氏は分岐には反対だ、と公の場で述べた。
声明の中でウォン氏は不正侵入はコインチェックが安全対策を「緩めた」ために起きたものであり、NEMのソースコードに内在する欠陥によるものではない、と繰り返し述べた。またウォン氏は暗号通貨取引所に対して、マルチシグナチャー・スマート・コントラクトを活用するよう奨励した。
コインチェック社は運用を継続し、顧客に補償したいと考えている
記者会見の最後にコインチェック社の幹部は、同社は取引所の運用を続ける意志があり、顧客に損失補償を行うつもりである、と述べた。しかしどのような形で補償が行われるのかについての詳しい説明はなかった。
とはいえ、注目すべきは、ブルームバーグの東京記者ユウジ・ナカムラ氏の報告によると、コインチェック社は日本の金融庁から暗号通貨交換業者としてのライセンスを取得していない、とのことだ。取得締め切りは昨年10月だったが、金融庁は同社に対する猶予期間を延長していた。
被害金額とコインチェック社が実施した安全対策が不適切だったことから、金融庁が同社に対して措置を講ずるかどうか、あるいは完全休業を命ずるかどうかという点が問題となっている。
https://www.ccn.com/biggest-theft-history-know-far-530-million-coincheck-hack/