2017年7月現在、イーサリアムはマイニング問題を抱えマイナーがETH売りをしたとみられる暴落後、VCなどのファンドが下落による買いましとみられる回復を見せましたが再度緩やかに下落しています。そんな中7月20日にイーサリアムクライアントのParityが提供するマルチシグウォレットにて致命的な問題が発覚しました。
セキュリティアラート:イーサリアムのクライアントであるParityのウォレットに致命的なバグが発見される。マルチシグ機能に脆弱性があり、即時に $ETH を盗難される危険があるため他のウォレットへ資産を移動してください #イーサリアム #Ethereum $ETH #仮想通貨 https://t.co/WANNiHtccx
— 墨汁うまい(Not giving away ETH) (@bokujyuumai) July 19, 2017
スポンサーリンク
目次
1.Parityウォレットのマルチシグ機能に脆弱性が発覚
7月20日日本時間4:00AM前後にParity Technologies公式によりセキュリティアラートが発表され、内容は下記の様になっています。
セキュリティアラート
1.重要性:深刻
2.対象プロダクト:Parity Wallet
3.影響されるバージョン:Parity 1.5から最新版まで
4.サマリー:マルチシグウォレットのコントラクトでの脆弱性が報告されています
5.被害の軽減策:Parityの影響されるバージョンを使用し作成したマルチシグウォレットにETHを保管しているユーザーは、即座に安全なアドレスに資金を移動してください。
1-1.ハックされる可能性のあるウォレット
今回の脆弱性はイーサリアムネットワークのバグではなくParityのマルチシグの問題であるため他プロジェクトなどには影響しません。
速報:これはParityウォレット1.5 のマルチシグの脆弱性であり、他のウォレットまたはイーサリアムネットワークでの問題ではありませんが即座の資金移動を行なってください #イーサリアム #Ethereum $ETH #仮想通貨 #フィンテック #ブロックチェーン #暗号通貨 https://t.co/SxpXIJAdrS
— 墨汁うまい(Not giving away ETH) (@bokujyuumai) July 19, 2017
1-1-1.Parityで生成されたマルチシグウォレット
今回のセキュリティバグはイーサリアムクライアントであるParityのUIを使用して生成したマルチシグウォレットのみに影響を受けるため、通常のETHホルダーなどは影響を受けません。これは通常ICOを行うイーサリアムスタートアップなどが使用するウォレットであるため、ICOを行ったプロジェクトは集めたETHをハックされる可能性があります。
1-1-2.MyEtherWalletやTrezorへの影響
ハードウェアウォレットのTrezorはERC20トークンやイーサウォレットを提供するMyEtherWallet(以下MEWとする)と統合しています。MEW公式発表によるとMEWは今回のバグに一切の影響を受けず資産は安全です。これは同様にTrezorでの安全も保証されており、資産の移動は必要ありません。
Mistで使用するEthereum Walletは同様に今回の脆弱性はなく資産は安全です。また
1-2.マルチシグ機能の脆弱性の理由
超速報:Parityのマルチシグバグがデベロッパーによって修正される。Parityの新しいバージョンが近いうちにリリースされる模様 #イーサリアム #Ethereum #仮想通貨 #ブロックチェーン #フィンテック $ETHhttps://t.co/nbyladNEwe
— 墨汁うまい(Not giving away ETH) (@bokujyuumai) July 19, 2017
Pariyによる公式アナウンス後の2時間後にGavin Wood氏により問題のコードが修正されました。
Githubのコードを確認するとinternalのつけ忘れという初歩的な物であり、Parity公式に記述してある下記の事をイーサリアムクラシック派による批判が見られます。
100%見直されたコード
Parityのコインベース内の全てのシングルラインは、メインリポジトリにアップされる前に一人のエキスパートデベロッパーにより完全に見直しがされている。
スポンサーリンク
2.15万ETH約34億円がハックされ盗まれる?
超速報:Parityのマルチシグウォレットのバグで15万ETH約34億円のイーサリアムが盗まれる?真相は不明ですが $ETH の投げ売りにご注意ください #イーサリアム #Ethereum $ETH #仮想通貨 #フィンテック #ブロックチェーン #暗号通貨 https://t.co/eodeU2eTX3
— 墨汁うまい(Not giving away ETH) (@bokujyuumai) July 19, 2017
このバグで実際に被害を受けたのは3つのスタートアップとなっています。
・Edgeless Casino
・Swarm City
・aeternity blockchain
2-1.ハックを受けたSwarm Cityの公式発表
Swarm Ciry(以下Swarmとする)の公式発表によると2017年7月19日SwarmのETHマルチシグウォレットからETHがハックされたことを発表。共同した数人のデベロッパーとイーサリアムファンデーションは悪意のあるハッカーが今回の脆弱性を利用し、3つのイーサリアムスタートアップの総額34億円分のETHをハックし盗んだことを発表しました。
トランザクションを確認すると153,017.021336727 Etherで日本円にして3,399,086,294.851円約34億円の被害となります。
Copyright © 2017 Etherscan
2-2.ホワイトハットグループによるイーサリアムの保護
ホワイトハットグループとなのる悪意のあるハッカーからサイバーテロによる仮想通貨の安全性を守るとされているグループの発表によると
「今回のバグにいち早く気づき377,113ETH約83億円の資産を先にハックし保護しました。今回の脆弱性を利用してのハックは容易ではなかったため対象のアドレスからETHをハックし保護するという手段を講じました。」
Copyright © 2017 Etherscan
3.今回のハックによるイーサリアムファンデーションの対応
イーサリアムクラシック派は事ある毎に「ハードフォークの時間だ」とイーサリアム関係者を煽りますが、今回のThe DAOハックに次ぐ被害への対応をイーサリアム開発者のVitalik Buterin氏が下記の様に述べています
「今回のハックでは悪意あるハッカーが既に資金を移動させたためハードフォークは不可能です。」
4.2016年末以来のイーサリアム大きなバグ
2016年11月24日にイーサリアムネットワークはハードフォーク後にGethとParityでコンセンサスバグを起こしクライアントが勝手にフォークを行ったバグ依頼の大きなバグとなります。
詳細は下記記事にて確認してください。
5.結論と考察
速報:Parityのマルチシグウォレットによる34億円分のETHがハックされた疑惑の影響か発表より1時間でETH価格が0.094BTCから0.087BTCへ約1800円の下落 #イーサリアム #Ethereum #仮想通貨 #ブロックチェーン #フィンテック $ETH pic.twitter.com/sQzgvBgUtz
— 墨汁うまい(Not giving away ETH) (@bokujyuumai) July 19, 2017
今回のParityの公式の発表によりイーサリアム価格は約1800円の下落を見せました。34億円のハック被害を受けているにも関わらずあまり下落を見せていないように感じます。
5-1.盗まれた34億円のイーサリアムの行方
盗まれた15万ETHのトランザクションをブロックチェン上で確認してみると既に送金先の残高は0ETHとなっています。これは既に盗まれたETHは売却されたとかんがえられるでしょう。
ここでアルトコイン最大の取引所PoloniexのETHチャートを確認してみると盗まれたちょうど6時前後と、22時前後に売りが入り0.111BTC/ETHまで回復していたイーサリアム価格が大幅下落したことがわかります。これは最高価格から約6,800円の下落となっており約24%の下落を示しています。
5-2.ホワイトハットグループにより保護されたETH
ホワイトハットグループは去年The DAOハックによって盗まれたEther(イーサリアムクラシック)をThe DAOハッカーのアドレスから同様にドレインし、The DAO所有者に返却したという歴史を持っています。保護された83億円のETHはホワイトハットグループによる何かしらの方法での返却がされると見られており、最新情報にご注意ください。
内容が分かり次第ツイッターの方にて速報を流します。
スポンサーリンク
ビットコインやイーサリアムその他仮想通貨の情報はツイッター上で速報を出しています。
Follow @bokujyuumai Tweet
仮想通貨ランキング Tweets by bokujyuumai