イーサリアムParityの脆弱性で34億円が盗まれる

Pocket

2017年7月現在、イーサリアムはマイニング問題を抱えマイナーがETH売りをしたとみられる暴落後、VCなどのファンドが下落による買いましとみられる回復を見せましたが再度緩やかに下落しています。そんな中7月20日にイーサリアムクライアントのParityが提供するマルチシグウォレットにて致命的な問題が発覚しました。

スポンサーリンク

1.Parityウォレットのマルチシグ機能に脆弱性が発覚

7月20日日本時間4:00AM前後にParity Technologies公式によりセキュリティアラートが発表され、内容は下記の様になっています。

セキュリティアラート

1.重要性:深刻

2.対象プロダクト:Parity Wallet

3.影響されるバージョン:Parity 1.5から最新版まで

4.サマリー:マルチシグウォレットのコントラクトでの脆弱性が報告されています

5.被害の軽減策:Parityの影響されるバージョンを使用し作成したマルチシグウォレットにETHを保管しているユーザーは、即座に安全なアドレスに資金を移動してください。

 

1-1.ハックされる可能性のあるウォレット

今回の脆弱性はイーサリアムネットワークのバグではなくParityのマルチシグの問題であるため他プロジェクトなどには影響しません。

1-1-1.Parityで生成されたマルチシグウォレット

今回のセキュリティバグはイーサリアムクライアントであるParityのUIを使用して生成したマルチシグウォレットのみに影響を受けるため、通常のETHホルダーなどは影響を受けませんこれは通常ICOを行うイーサリアムスタートアップなどが使用するウォレットであるため、ICOを行ったプロジェクトは集めたETHをハックされる可能性があります。

1-1-2.MyEtherWalletやTrezorへの影響

ハードウェアウォレットのTrezorはERC20トークンやイーサウォレットを提供するMyEtherWallet(以下MEWとする)と統合しています。MEW公式発表によるとMEWは今回のバグに一切の影響を受けず資産は安全です。これは同様にTrezorでの安全も保証されており、資産の移動は必要ありません。

Mistで使用するEthereum Walletは同様に今回の脆弱性はなく資産は安全です。また

1-2.マルチシグ機能の脆弱性の理由

Pariyによる公式アナウンス後の2時間後にGavin Wood氏により問題のコードが修正されました。

Parity Multisig Bug Code

 

Githubのコードを確認するとinternalのつけ忘れという初歩的な物であり、Parity公式に記述してある下記の事をイーサリアムクラシック派による批判が見られます。

100%見直されたコード

Parityのコインベース内の全てのシングルラインは、メインリポジトリにアップされる前に一人のエキスパートデベロッパーにより完全に見直しがされている。

スポンサーリンク

2.15万ETH約34億円がハックされ盗まれる?

このバグで実際に被害を受けたのは3つのスタートアップとなっています。

・Edgeless Casino

・Swarm City

・aeternity blockchain

 

2-1.ハックを受けたSwarm Cityの公式発表

Swarm Ciry(以下Swarmとする)の公式発表によると2017年7月19日SwarmのETHマルチシグウォレットからETHがハックされたことを発表。共同した数人のデベロッパーとイーサリアムファンデーションは悪意のあるハッカーが今回の脆弱性を利用し、3つのイーサリアムスタートアップの総額34億円分のETHをハックし盗んだことを発表しました。

トランザクションを確認すると153,017.021336727 Etherで日本円にして3,399,086,294.851円約34億円の被害となります。

Copyright © 2017 Etherscan

2-2.ホワイトハットグループによるイーサリアムの保護

ホワイトハットグループとなのる悪意のあるハッカーからサイバーテロによる仮想通貨の安全性を守るとされているグループの発表によると

「今回のバグにいち早く気づき377,113ETH約83億円の資産を先にハックし保護しました。今回の脆弱性を利用してのハックは容易ではなかったため対象のアドレスからETHをハックし保護するという手段を講じました。」

Copyright © 2017 Etherscan

 

3.今回のハックによるイーサリアムファンデーションの対応

イーサリアムクラシック派は事ある毎に「ハードフォークの時間だ」とイーサリアム関係者を煽りますが、今回のThe DAOハックに次ぐ被害への対応をイーサリアム開発者のVitalik Buterin氏が下記の様に述べています

「今回のハックでは悪意あるハッカーが既に資金を移動させたためハードフォークは不可能です。」

 

4.2016年末以来のイーサリアム大きなバグ

2016年11月24日にイーサリアムネットワークはハードフォーク後にGethとParityでコンセンサスバグを起こしクライアントが勝手にフォークを行ったバグ依頼の大きなバグとなります。

詳細は下記記事にて確認してください。

イーサリアムがコンセンサスバグによりフォークし分岐

5.結論と考察

今回のParityの公式の発表によりイーサリアム価格は約1800円の下落を見せました。34億円のハック被害を受けているにも関わらずあまり下落を見せていないように感じます。

5-1.盗まれた34億円のイーサリアムの行方

盗まれた15万ETHのトランザクションをブロックチェン上で確認してみると既に送金先の残高は0ETHとなっています。これは既に盗まれたETHは売却されたとかんがえられるでしょう。

ここでアルトコイン最大の取引所PoloniexのETHチャートを確認してみると盗まれたちょうど6時前後と、22時前後に売りが入り0.111BTC/ETHまで回復していたイーサリアム価格が大幅下落したことがわかります。これは最高価格から約6,800円の下落となっており約24%の下落を示しています。

 

 

5-2.ホワイトハットグループにより保護されたETH

ホワイトハットグループは去年The DAOハックによって盗まれたEther(イーサリアムクラシック)をThe DAOハッカーのアドレスから同様にドレインし、The DAO所有者に返却したという歴史を持っています。保護された83億円のETHはホワイトハットグループによる何かしらの方法での返却がされると見られており、最新情報にご注意ください。

内容が分かり次第ツイッターの方にて速報を流します。





スポンサーリンク


ビットコインやイーサリアムその他仮想通貨の情報はツイッター上で速報を出しています。




Donate with IndieSquare



仮想通貨ランキング

次へ 投稿

前へ 投稿

返信する

© 2017 イーサリアム・ジャパン

テーマの著者 Anders Norén