画像はイメージ J5consulting
日本円換算で約660億円(約6億米ドル)にのぼる仮想通貨(暗号資産)が、ハッキングの被害にあった。
ハッキングを受けたのは、DeFi(分散型金融)プラットフォームを提供するPoly Networkだ。
2018年1月に日本の暗号資産交換業者コインチェックから約580億円相当の仮想通貨が盗み出されているが、この流出事件を上回る史上最大規模のハッキングとみられている。
ただ、この事案は極めて得意な展開をたどった。
8月11日になって、攻撃者側が、盗み出した仮想通貨の3分の1以上を返還し、13日には、Poly Network側が、ハッカー側に対して、ネットワークの脆弱性を指摘した報酬として50万ドルを支払うと提案したと報じられている。
「金に興味ない」
事件が起きたのは、日本時間の8月10日夜のことだ。Poly Networkの運営者がツイッターへの投稿で、「資産がハッカーのアドレスに送られた」と被害を明らかにした。
被害が公表された約20分後には、テザー社が、ハッキングと関連する仮想通貨テザー(USDT)約3300億ドル相当の資金移動を凍結したとツイートした。
一方で攻撃者側は、日本時間8月11日未明以降、ブロックチェーン上に繰り返しメッセージを残し、同午前0時48分には「資金を返還する準備ができた!」と書き込んだ。
ロイターによれば、攻撃社はこのメッセージどおり、11日に約2億6000万ドル相当の仮想通貨を返還している。
攻撃者は、ブロックチェーン上に「金には興味がない」とするメッセージも残している。
日本のブロックチェーン推進協会(BCCC)は11日夜、緊急解説会を開いた。
講師を務めたJPYC社の岡部典孝氏は、「いまのところ金銭目的というより、技術を誇示するような目的で、攻撃したという心象を持っています」との見方を示している。
管理者がいないのがDeFiだが
今回の事件が世界的に注目を集めているのは、被害額の大きさだけでなく、DeFi(Decentralized Finance)がハッキングの対象となった点だ。
分散型金融と訳されているDeFiには、特定の管理者がいないとされる。
DeFiの典型例としてよく説明されるのは、分散型取引所だ。たとえばビットフライヤーやコインチェックなどは、仮想通貨取引所(暗号資産交換所)で、日本の企業が運営している。
これに対して分散型取引所はユーザー間で仮想通貨を交換することができ、管理者がいないとされている。
ネットワーク上に仮想通貨を交換するソフトは存在するが、それを管理する会社などは存在しない。
Poly Networkは、中国など世界各国の暗号資産関連の企業やプロジェクトが資金や技術、プログラムを提供している。
複数のブロックチェーンをまたいで仮想通貨を交換できるネットワークだ。
厳密には「公式ツイッターアカウント」が存在する以上、運営者が存在し、Poly Networkが狭い意味でのDeFiに当たるかどうかは判断が難しいところがある。
11日夜の解説会で岡部氏は「Poly Networkの運営側のお金が盗まれた」との見方を示している。
おそらくPoly Networkの開発・運営に参画している企業や個人が出資し、仮想通貨の交換のためにプールしていた仮想通貨が、不正に引き出されたということになるのだろう。
いまのところ、Poly Network側が保有していた仮想通貨の移動に絡む脆弱性が攻撃者側に狙われたとみられている。
岡部氏は「権限の割り振りに脆弱性があったと考えられる。権限を持った4人が署名すれば、送金が行なわれるが、リストを書き換えて、自分1人の許可で送金が行なえるように細工することに成功した」と話している。
この連載の記事
- 第313回 アマゾンに公取委が“ガサ入れ” 調査の進め方に大きな変化
- 第312回 豪州で16歳未満のSNS禁止 ザル法かもしれないが…
- 第311回 政府、次世代電池に1778億円 「全固体」実現性には疑問も
- 第310回 先端半導体、政府がさらに10兆円。大博打の勝算は
- 第309回 トランプ2.0で、AIブームに拍車?
- 第308回 自動運転:トヨタとNTTが本格協業、日本はゆっくりした動き
- 第307回 総選挙で“ベンチャー政党”が躍進 ネット戦略奏功
- 第306回 IT大手の原発投資相次ぐ AIで電力需要が爆増
- 第305回 AndroidでMicrosoftストアが使えるように? “グーグル分割”の現実味
- 第304回 イーロン・マスク氏、ブラジル最高裁に白旗
- この連載の一覧へ