昨日、1月26日、コインチェック社幹部は記者会見で正式に、NEMネットワークのネイティブ暗号通貨である5億3000万ドルのXEMが未知のハッカーグループによって盗まれたと述べた。
貧弱なセキュリティ
記者会見で、コインチェック社の幹部は、ハッキングに関する詳細、特にコインチェック社の暗号通貨取引に関するインフラストラクチャについて明らかにした。日本を拠点とするテクノロジー・レポーターのナカムラ・ユウジ氏は、コインチェック社取引プラットフォームはマルチ・シグネチャー技術を実装せず、ハッキングされた資金をすべてホット・ウォレットに保管し、コインチェック社の開発者は未だどのようにハッキングが行われたのか認識していないと語った。
Kraken、Coinbase、Bitfinexなどの主要な暗号化交換では、第三者のセキュリティサービスプロバイダがトランザクションの合法性を確認するまで、パブリックブロックチェーンネットワーク上での資金の処理を防止するマルチシグニチャーのセキュリティ対策が用意されている。
たとえば、KrakenとBitstampは、ハッカーがプラットフォームから資金を引き出せないようにするため、業界で最大のマルチシグニチャー技術とブロックチェーンセキュリティ企業であるBitGoと提携している。
マルチシグネチャサービスの欠如は、あらゆる暗号通貨取引の重要なセキュリティ上の欠陥である。マルチ署名技術が統合された場合、セキュリティ違反による5億3,000万ドルの盗難が防止されていた可能性が高い。
コインチェック社は、マルチシグニチャーのセキュリティ対策を実装していないだけでなく、すべての暗号通貨をホットウォレットに入れて保管していた。暗号通貨では、ホット・ウォレットはインターネットに接続されたウォレットとして定義され、コールド・ウォレットはオフラインで格納されるウォレットとして定義される。大量のユーザ資金の場合、暗号通貨は通常、ハッキング攻撃を受けた場合でもハッカーがユーザの資金にアクセスできないように、コールド・ウォレットに暗号通貨を格納するのが一般的だ。
ホット・ウォレットに資金を保管し、マルチ・シグネチャー・システムを実装していないコインチェックの過誤は、最終的にユーザーの暗闘通貨資産に5億3000万ドルの損失をもたらした。
記者会見を通じて、コインチェック社のCEOと役員は、インフラストラクチャーの明らかな弱点にもかかわらず、取引所が安全ではないことを認めないことにした。ナカムラ氏は次のように指摘した。
- NEMのみが影響を受けた
- コインチェック社は引き続き稼働する予定
- 顧客への払い戻し方法を決定していない
- マルチ・シグネチャーの設定はなし
- セキュリティが弱いとは認めていないようだ
- それがどのようにハッキングされたかわからない
コイン・チェックは、セキュリティ対策に自信が持てないため、日本の金融庁(FSA)に報告していないことも明らかになった。しかも、コインチェック開発チームは、取引プラットフォームがどのようにハッキングされたかをまだ理解していない。
セキュリティがどのように破られたのか、その方法を解明できない場合、将来的に同様の攻撃が起きるのを防ぐために必要な改善を加えることはできない。
公開プラットフォーム上に暗号通貨を保管しない
コインチェック社のインフラストラクチャが貧弱で弱いことを考えると、大規模なハッキング攻撃が不可避だった。同社の開発者は、リップルやビットコインなどのトレーディングプラットフォーム上の他の暗号化された通貨は影響を受けないことを安心している可能性がある。
暗号通貨の一般的なルールとして、中央集中型プラットフォームに資金を残すことはまったく安全ではない。暗号通貨を格納する最も安全な方法は、非公開のプラットフォーム上に置くことだ。この場合、ユーザーは秘密鍵を完全に制御できる。