仮想通貨Verge(XVG)は、何故2回も“51%攻撃”のハッキング被害に遭ったのか?

6666

編集部ピックアップ

仮想通貨Verge(XVG)は、何故2回も“51%攻撃”のハッキング被害に遭ったのか?

ブロックチェーンにとって脅威となる“51%攻撃”と呼ばれるハッキングは、仮想通貨のプロトコルの弱点をついているが、主要なコイン(ビットコイン“BTC”やイーサリアム“ETH”など)への攻撃はほとんど例がない。

しかし、ここ2~3カ月の間に同じ手口の攻撃が2度、しかも同じブロックチェーンで発生している。51%攻撃は、悪意のある単独のマイナー、または特定のマイナーのグループが過半数の計算能力を占め、ブロックチェーンネットワークを思いのままに操作する不正行為である。

2度も51%攻撃の標的になったVerge(XVG)

仮想通貨Verge(XVG)は人気アダルトサイト、Pornhubとの提携により、最近注目を浴びる匿名性の高い通貨だが、最近2度も51%攻撃の標的となり、数百万ドル(日本円で数億円)もの価値に値するVerge(XVG)が盗み去られた。1回目の被害は今年4月で、Pornhubとの提携の数週間前にハッキングが起こり、25万枚のVerge(XVG)が持ち去られた。2度目は5月中旬で、170万ドル(日本約1億9千万円)に相当するコインがハッカーにだまし取られた。

関連:大手アダルトサイトPornhubが「Verge(バージ)」での仮想通貨決済をスタート

なぜVerge(XVG)がハッキング被害に遭ったのか

専門家によると、このようなハッキングは仮想通貨のプロトコルの土台となるコードを少し操作するだけで可能だが、こうした操作により起こりうる事態を想定することは難しいという。Verge(XVG)はより使い勝手の良い仮想通貨をデザインしようとして、ブロックの承認時間など一部に変更を加えたが、これにより攻撃に対して弱くなってしまった。

ブロックチェーンは、特定の個人やグループがシステムを独占することがないように、関係するステークホルダーが協力しあうという不安定な前提のもとに成り立っている。これについて、イギリスの公立研究大学、インペリアル・カレッジ・ロンドン(Imperial College London)の准教授で、仮想通貨Liquidity Networkの創始者であるArthur Gervais氏は、「各ステークホルダーにとってのインセンティブをうまく設計し、それを保つことは容易ではない」と話す。

仮想通貨分析サイト、The AbacusのCTO(最高技術責任者)であるDaniel Goldman氏は、最近の一連のハッキング事件に関して次のように述べている。「事態は楽観できるものではない。コードにハッキングの隙ができたのは、リスクなどを十分に検討することなくオープンソース・ソフトウェアのコードを利用するなど、単純な不注意の結果だ。残念なことだが、ハッカーは開発者よりもよく考えて行動している。私がもし開発者だったら、ハッカーを引き抜きたいくらいだ。」

以前からシステムの欠陥を指摘されていたVerge(XVG)

ライトコイン(LTC)の創設者、チャーリー・リー(Charlie Lee)氏やモネロ(XMR)の創業者、Riccardo Spagni氏といったベテランのブロックチェーン開発者は、これまでにもVerge(XVG)のシステムの欠陥を指摘していた。これに対し、「Verge Army」と自称するVerge(XVG)の熱狂的ファンが反論を続けていたが、今回の事件で開発者たちの主張が正しかったことが明らかとなった。

フィデリティ・インベストメンツのアナリスト、Nic Carterは今回のVergeのハッキング事件についてツイッターで、「今回の件からは学ぶべきことが数多くある。」とつぶやいている。コインデスクはVerge(XVG)の開発グループの代表者にコメントを求めたが、反応は無かった。

Verge(XVG)は何がいけなかったのか

今回の事件の教訓のひとつは、仮想通貨の確認作業にかかる時間が厳しく制限される理由を改めて認識することだ。ビットコイン(BTC)ではトランザクション承認は約10分間であるのに対し、Verge(XVG)では2時間に延長されている。さらに、関わる様々な人々の間でブロックチェーンのシステムに関する情報量や知識量に差がある状況もあり、ハッカーが誰にも気づかれずにタイムスタンプを偽造する隙ができたと、Goldman氏は指摘している。

同氏によれば、原因はそれだけではなく、Verge(XVG)のアルゴリズムにもあるようだ。Vergeはブロック生成の速度を自動的に調整することができるDark Gravity Waveというアルゴリズムを利用している。

この調整が、ビットコイン(BTC)では2週間ごとに行われるのに対し、Verge(XVG)では2時間ごとという速さで行われる。偽のタイムスタンプがこのアルゴリズムで使われたことにより、システムに甚大な混乱が生じ、結果としてハッカーはより多くのVerge(XVG)をだまし取ることができたと考えられる。

1回目の攻撃を受けてから、Verge(XVG)はすぐにパッチを作成して対応した。しかし、2回目の攻撃時には、ハッカーはその対策をすり抜ける方法をすでに編み出していて、手口が同じだったにも関わらず、被害を防ぐことができなかった。

ハックされる可能性があることを認識

Goldman氏は、Verge(XVG)の試練は今後も続くと見ており、「Verge(XVG)は今でも狙われていて、ただハッカーがまだハッキングに成功していないだけだ。私が考えるVerge(XVG)の弱点のうち、一部は対処されたが、まだ手のついていないものもある。」と話している。VergeのユーザーのXVGにはまだ直接的な被害は及んでいないが、弱点を放っておくわけにはいかない。

Verge(XVG)の開発者はコードの改善に取り組んでいるようで、アメリカの掲示板Redditには、Verge(XVG)のブラックペーパーを書いたCryptoRektというペンネームの書き込みで、「Verge(XVG)に汚名を着せるために開発者が意図的に仕掛けているわけではない。将来のハッキングを防ぐために数週間かけて新しいコードに取り組んでいる。」とある。

Goldman氏はさらに、問題は他にもあると指摘している。オープンソースコードを利用するほかの通貨と違い、Verge(XVG)のコードは独自性が高いため、他のブロックチェーンのエキスパートからのレビューを受けにくく、よって弱点に気づきにくいという。よく吟味することなくコードを使ったことが今回の攻撃を引き起こした原因のひとつだということを認識すべき、と彼はツイートしている。

今後のVerge(XVG)展望

度重なる事件にも関わらず、Verge(XVG)のコミュニティはVergeの開発者とそのミッションを変わらず支持しているようだ。CryptoDogというハンドルネームのユーザーは、「慌てることはない。Verge(XVG)の成功は揺るがない」と自信を見せる。前出のCryptoRektは、「これはVerge(XVG)が今後ますます成長し、良くなっていくための勉強の機会だった。」と書いている。

それにしても今回の事件はVerge(XVG)にとってだけでなく、Pornhubなど、Vergeと提携する側にとっても決まりの悪いものだ。ことにPornhubにとっては、副社長のCorey Princeが言うように、お客様のプライバシーを守るために、検討を重ねてVerge(XVG)を採用したつもりだった。今回の事件は、ブロックチェーンを利用する企業などにとっても、採用前に十分な検討を行う責任があることを改めて認識させる。

BitGo(高セキュリティーの多重署名ウォレット)のエンジニアであるMark Erhardtは、次のように語る。

「今後、安全性対策が強化されることになるだろうが、ハッキングの攻撃も増えるだろうし、アルトコインに対するユーザーの評価も厳しくなるだろう。攻撃がされないからといって、それが安全なシステムということにはならない。アルトコインのなかには不用意なシステムも多くみられる。ハッキング被害にあっていないのは、ただ単に、誰もこうした欠陥や弱点につけこもうとしていないからだ。」
Verge(XVG)はハッキングの始まりの例かもしれない。

Liquidity NetworkのArthur Gervaisによれば、通常、51%攻撃は実行が難しいと言われているが、これまで考えられていたより容易になっているというデータがあるという。51cryptoという新しいアプリにより、各ブロックチェーンで51%攻撃をしかけた場合に、どれくらい儲けることができるかを試算できる。この結果によれば、ブロックチェーンが短いものほど、乗っ取られ、不正に操作される可能性が高い。開発者はシステムの構築にあたって、注意を払わなければならない。

「正当な方法よりもハッキングのほうが効率的に儲けられるのであれば、ハッカーは絶えないだろう。」とGervaisは締めくくっている。

▼関連
ZenCash(ZEN)がハッキング被害に! 仮想通貨を脅かす“51%攻撃”

▼参考
coindesk