イーサリアム公式フォーラムデータベースの不正アクセスと情報流出

Home
Chart相場分析
News仮想通貨News
Wiki仮想通貨Wiki
ETHEthereum
BTCBitcoin

仮想通貨
最新速報

イーサリアム公式フォーラムデータベースの不正アクセスと情報流出

2016年12月19日イーサリアムファンデーションからの公式発表で、ユーザーのアカウントデータ流出に対する報告になります。

スポンサーリンク

1.イーサリアム公式フォーラムハッキングの概要

2016年12月16日、何者かがEthereum.orgのフォーラムからデータベースへ不正アクセスを行ったことが明らかになりました。イーサリアムファンデーションは即座に原因、影響と範囲を特定するために徹底的な調査を行いました。下記が現在わかっていることです。

1-1.ハッキング被害

2016年4月からのデータベースバックアップと1万6500人にも及ぶフォーラムユーザーの情報にアクセスされました。

流出した情報は下記のものを含みます。

・フォーラムの書き込みとプライベートメッセージ

・IPアドレス

・ユーザーネームとEメールアドレス

・プロフィール情報

・ハッシュ化されたパスワード

〜1万3000人  :B Cyptハッシュ(ソルトされたもの)

〜1500人  :ワードプレスハッシュ(ソルトされたもの)

〜2000人  :パスワードは含まない(連合したログインを使用)

 

*ソルト:パスワードを暗号化する際に付与するデータ

 

1-2.Bo Shenのアカウントハックと同じ犯人

アタッカーは最近Bo Shenをハックした人または団体だと自ら主張しています。

*ブロックチェーンのベンチャーキャピタルの一つとして有名ですが合計30万ドル(時価3500万円)イーサリアムの$ETHとオーガーの$REPがアカウントハックから盗まれ大量に売られた事件のこと

 

2.イーサリアムファンデーションの対応

・情報が漏洩した可能性のあるユーザーには追加の情報を含むメールを送信しました

・リークに関連した不正なアクセスポイントを閉鎖

・イーサリアムファンデーションはより強固なセキュリティにするためにアカウントのリカバリー電話番号の消去と個人情報などの機密情報を暗号化するなどのセキュリティガイドラインをより厳しく策定します

・流出したメールアドレスを「’;–have i been pwned?」に追加し、ユーザーが自分のアカウント情報が流出したか確認できるようにしました。

*’;–have i been pwned?:データの流出やハッキング被害などが起こった際自分のアドレスが被害を受けたかどうかわかるサイト

・全てのフォーラムパスワードのリセットを行いました。

 

3.もし自分が流出の被害にあってた場合

スポンサーリンク

自分が使用していたパスワードを再度同じものにしないこと。また同じパスワードをイーサリアムのフォーラム以外で使用している場合は変更を行って下さい。

 

今回の事件について深く反省し誠意を持ってイーサリアムファンデーションと外部のパートナーで対応を行います。

 

blog.ethereum.org

4.立て続けに起こるイーサリアムへの攻撃

現在イーサ(Ether)にはイーサリアム($ETH)とイーサリアムクラシック($ETC)が存在するこはみなさんご存知でしょう。ではいかにしてこの2つの通貨は生まれたのでしょうか?

イーサリアムは2016年The DAOハックにより多額のイーサリアムが盗まれたことを発端に、コミュニティの約9割以上のコンセンサスを得たとし、ハードフォークを行いました。

4-1.ハードフォークの意味とは?

 

ハードフォークとはソフトフォークと違い、今までのイーサリアムネットワークの旧プロトコルと全く互換のない新たなものとすることで、プロトコルレベルの致命的なバグなどを”なかった”ことにし、ブロックチェーン自体も全く新たなチェーンとして分岐することを指します。

イーサリアムとイーサリアムクラシックの違いとは読んで字のごとくイーサリアムがThe DAOハックにより盗まれたイーサリアムを取り戻すためにハードフォークをし、チェーン分岐を行ったことにより、元のチェーンに残った”クラシック”が生まれてしまいました。

4-2.ハードフォークのリスク

ハードフォークは賛否両論となります。簡易的に説明を行うとイーサリアムとイーサリアムクラシックの例はわかりやすく、古いプロトコルと新しいプロトコルに互換性がなく、古いチェーンから新しいチェーンに移るインセンティブが無く古いチェーンを支持する層が現れるとネットワークのハッシュレートやデベロッパーが2つにスプリットしてしまうという重大なリスクが生まれてしまいます。

5.止まらないイーサリアムへの攻撃

イーサリアムとイーサリアムクラシックは上記のハードフォークのリスクで説明した通り、クラシックチェーン派とイーサリアムチェーン派に分裂してしまったということはお互いのコンセンサスに相違が生じてしまったということです。

5-1.お互いを攻撃する理由

bokujyuumai.hatenadiary.com

bokujyuumai.hatenadiary.com

3度に渡りプロトコルレベルのバグをついた攻撃をしかけるイーサリアムクラシック勢、これもハードフォークから生じた二次的問題と言えるでしょう。

十分なコンセンサスが得られずにハードフォークを行いチェーン分岐をしてしまうことにより、お互いを攻撃し価格をパンプまたはダンプすることも大きな要因となります。これは両イーサ共に見て利点はなく、ネットワークスプリットという自体は必ず避けなければならないということがわかります。

5-2.今回の不正アクセス

さて今回の攻撃はどういうものでしょう?

ことの発端は下記のツイートから起こっています。

 

 

イーサリアムネットワークに対する攻撃というわけではないのですが人為的なミスによりアカウントリークし大量のオーガーのREPとイーサリアムのETHを売られてしまうという事件がありました。

 

アタッカーは同一人物であると主張しているわけです。どの経路からの不正アクセスかわかりませんがイーサリアムファンデーション内またはフォーラムに関わる人間からのアカウント流出により行われたものの可能性も高いと思われます。

 







スポンサーリンク


ビットコインやイーサリアムその他仮想通貨の情報はツイッター上で速報を出しています。





仮想通貨ランキング

返信する

イーサリアムのテストネットフォークでコンセンサスバグにより分裂

イーサリアムはコンスタンティノープルのテストを行うために、テストネットのロプステンのブロック #4,230,000でハードフォークを実施。メインネットと違い、ブロックタイムが15秒より早く、予定の2日前にブロックに達した...

コンスタンティノープルテストネットブロック決定とProgPoWの進行

イーサリアムは年末にコンスタンティノープルフォークを控え、前回のコアデベロッパー会議で決まっていた10月9日のテストネット”ロプステン”のハードフォークを今回の会議で決定しました。本稿では、イーサリアムの大型アップデート...

イーサリアム 10月9日にテストネットのコンスタンティノープルフォークを予定

イーサリアムクライアントのParityとaleth(cpp-ethereum)はメトロポリスのPt.2となる”コンスタンティノープル”に実装するEIP(改善提案)の残りの実装となるEIP-1283とEIP-1...