小島寛明の「規制とテクノロジー」 ― 第140回

660億円の仮想通貨が流出　被害にあったDeFiプラットフォームとは－倶楽部情報局

　アスキーの会員サービスASCII倶楽部では、会員の方だけが読めるさまざまな連載や特集が毎日更新中。

　本日は、ASCII倶楽部の人気記事「660億円の仮想通貨が流出　被害にあったDeFiプラットフォームとは」を紹介します。

画像はイメージ J5consulting

　日本円換算で約660億円（約6億米ドル）にのぼる仮想通貨（暗号資産）が、ハッキングの被害にあった。

　ハッキングを受けたのは、DeFi（分散型金融）プラットフォームを提供するPoly Networkだ。

　2018年1月に日本の暗号資産交換業者コインチェックから約580億円相当の仮想通貨が盗み出されているが、この流出事件を上回る史上最大規模のハッキングとみられている。

　ただ、この事案は極めて得意な展開をたどった。

　8月11日になって、攻撃者側が、盗み出した仮想通貨の3分の1以上を返還し、13日には、Poly Network側が、ハッカー側に対して、ネットワークの脆弱性を指摘した報酬として50万ドルを支払うと提案したと報じられている。

「金に興味ない」

　事件が起きたのは、日本時間の8月10日夜のことだ。Poly Networkの運営者がツイッターへの投稿で、「資産がハッカーのアドレスに送られた」と被害を明らかにした。

　被害が公表された約20分後には、テザー社が、ハッキングと関連する仮想通貨テザー（USDT）約3300億ドル相当の資金移動を凍結したとツイートした。

　一方で攻撃者側は、日本時間8月11日未明以降、ブロックチェーン上に繰り返しメッセージを残し、同午前0時48分には「資金を返還する準備ができた！」と書き込んだ。

　ロイターによれば、攻撃社はこのメッセージどおり、11日に約2億6000万ドル相当の仮想通貨を返還している。

　攻撃者は、ブロックチェーン上に「金には興味がない」とするメッセージも残している。

　日本のブロックチェーン推進協会（BCCC）は11日夜、緊急解説会を開いた。

　講師を務めたJPYC社の岡部典孝氏は、「いまのところ金銭目的というより、技術を誇示するような目的で、攻撃したという心象を持っています」との見方を示している。

管理者がいないのがDeFiだが

　今回の事件が世界的に注目を集めているのは、被害額の大きさだけでなく、DeFi（Decentralized Finance）がハッキングの対象となった点だ。

　分散型金融と訳されているDeFiには、特定の管理者がいないとされる。

　DeFiの典型例としてよく説明されるのは、分散型取引所だ。たとえばビットフライヤーやコインチェックなどは、仮想通貨取引所（暗号資産交換所）で、日本の企業が運営している。

　これに対して分散型取引所はユーザー間で仮想通貨を交換することができ、管理者がいないとされている。

　ネットワーク上に仮想通貨を交換するソフトは存在するが、それを管理する会社などは存在しない。

　Poly Networkは、中国など世界各国の暗号資産関連の企業やプロジェクトが資金や技術、プログラムを提供している。

　複数のブロックチェーンをまたいで仮想通貨を交換できるネットワークだ。

　厳密には「公式ツイッターアカウント」が存在する以上、運営者が存在し、Poly Networkが狭い意味でのDeFiに当たるかどうかは判断が難しいところがある。

　11日夜の解説会で岡部氏は「Poly Networkの運営側のお金が盗まれた」との見方を示している。

　おそらくPoly Networkの開発・運営に参画している企業や個人が出資し、仮想通貨の交換のためにプールしていた仮想通貨が、不正に引き出されたということになるのだろう。

　いまのところ、Poly Network側が保有していた仮想通貨の移動に絡む脆弱性が攻撃者側に狙われたとみられている。

　岡部氏は「権限の割り振りに脆弱性があったと考えられる。権限を持った4人が署名すれば、送金が行なわれるが、リストを書き換えて、自分1人の許可で送金が行なえるように細工することに成功した」と話している。

　続きは「660億円の仮想通貨が流出　被害にあったDeFiプラットフォームとは」でお楽しみください。

　なお、こちらの記事の続きを読めるのはASCII倶楽部会員の方限定です。

　ASCII倶楽部には、今回紹介した記事だけでなく、PCやスマホ、カメラ、テレビ、オーディオなどの会員だけが読める連載が更新されております！ さらに、週刊アスキー 電子版の最新号から過去4年ぶん以上のバックナンバーが読み放題となっております。