コインチェック・ハック事件の所感

1月26日、日本で最も多くのユーザーを抱えるとされていた仮想通貨取引所coincheck(以下CC)から、時価で500億円相当以上のXEMが盗まれました。28日午前にコインチェックは盗まれたXemを法定通貨で補償すると発表しました。この一連の流れ以下の事が分かっています。

※動画解説はこちらです。

https://youtu.be/KiENDj02fJo

1.セキュリティ

批判されたのが、CCがXemをホットウォレットに保存していたこと。ホットウォレットは利便性を大事にして、オンラインで秘密鍵が保管されているウォレット。その逆がオフライン状態で秘密鍵が保管されている、コールドウォレットです。コールドウォレットの方が格段にセキュアです。ネットに接続した状態のウォレットにはクラッキングの余地が生じてきます。

以下は杉井 靖典氏のクイックな論考から抜粋しました。こういった事態に対応できる技術者を確保しておくことが難しいことが分かります。

NEMもそのひとつで、標準的なユーティリティは、トランザクションの作成から署名まで、オンラインに提供されるAPIを利用してできるようになっています。

それゆえ、インターネット系から参入してきた技術者には扱いやすく気軽に実装できるのがメリットである事に対して、逆にこのユーティリティAPIを使わずに、完全にオフラインで動かそうとするのは、比較的新しい署名技術が使われているなど革新的な部分も相まって、結構難しいだろうと考えられます。

すくなくとも、トランザクションの様式を低レベルで理解して、オフラインで署名するシステムを構築できる技術者がいないとならず、それがこの事象の発生までに、人材確保までの対応を含めて「間に合わなかった」と、いう事だろうと思います。

利用者への利便性提供と安全性の担保は、相反することはしばしばあります。

取引所は「自動入金」や「自動出金(即時送金)」など利用者への利便性で競争をしているので、安全性をある程度軽く見て、利便性にベットするのは自然な流れです。CCのこの点が突かれたと言っていいでしょう。

ここで、全発行額の5%に当たる5.4億xemがひとつのウォレットに置かれていた点は疑問に当たります。複数のウォレットに分散しておくだけで、リスクを軽減できるはずです。この点に関しては杉井氏は以下のような推測をしています。

この状態がどうやったらできるのか?考えられることは以下の3つくらいでしょうか。

1.日ごろからユーザーから受信したNEMを1つのウォレットアドレスに集約するようなオペレーションを取っていた。(あまり、好ましくないオペレーション体制がとられていた)

2.実はかなり前から侵入されていて、潜伏状態でコツコツと残高を1つのアドレスに移動して徐々に発射台が形成されてきた。(あまり、よろしくない安全状態だった)

3.場外で大きな相対取引を求められており、その取引に対応するために1つのアドレスに残高を集約して出金の準備していた。(実は一番現実的?)

僕がこの事件を耳にしたとき最初に思ったことは、実は、3.のパターンで、まさか盗難されたとは考えませんでした。

「きっと、中国あたりから逃げて来た仮想通貨難民が日本に大量買付けにやってきて、コインチェックがその相対取引に応じた結果じゃないの?」と思ったくらいです。

で、推測の範囲ですが、ブラックハットハッカーがCCに紛れ込んでいてその人が秘密鍵をゲットしていたという状況も考えられるわけです。いわゆる「トロイの木馬」ですね。だから記者会見でクラッキングの経路等の詳細を話すわけにはいきません。今後は静かに、仮に獅子身中の虫、のシナリオも考慮に入れながら調査をすることになるかもしれません(あくまで推測です)。

それで、暗号通貨/ブロックチェーン領域で、この種のセキュリティに対応できる人材は枯渇している、と杉井氏は話しています。

2. CCがキャッシュリッチなこと

で、CCは今回、日本円で補償することを決めましたが、これでCCはどれだけお金を持っているのかよ、と恐れおののくことになりました。これは資本主義の暴力で、結局は「賭け」の胴元が儲かるわけです。

取引額は月額4兆円に達しています。CCは若者向けのUIで、暗号通貨界隈でもリテラシーが低いか、少額プレイヤーの層を顧客にしていると思いますが、彼らが「販売所」のスプレッドをじゃんじゃん払っているので、ボロ儲けをしているわけですね。

日本首位のbitFlyerはどれだけ稼いでいるのだろうか…。

3. メディアと規制

暗号通貨を買っている人って、マスメディアの情報の扱い方はわかっているから、仮にあの忌まわしい記者会見のようなネガキャンが打たれたとしても、投げ売りをすることはなさそうです。日経の記事によると、金融庁の中にも余り世界の変化に機敏なタイプはいないようなので、そこが不確定要因です。

これまでマスメディアがそうだったように、知識の外にある事象に対し、パニック気味の攻撃的な反応を取ることを懸念します。超ドメな政府機関、例えば検察などは、自分たちが関知する世界の外のことを知ろうとする態度に欠ける面があります。金融庁や日本の金融機関の世界はほぼ鎖国している状態です。彼らのなかだけで人材流動性があり、彼らのなかだけでスタンダードがあるので、Decentralizedな通貨なんか理解しない。同じエコシステムの中にある伝統的国内大手企業の30歳超え社員からも同様の傾向を感じます。日本人という人間は自分の利得よりもヒエラルキーを重視します。これは行動経済学上の重要な知見です。

日本は比較的、暗号通貨の採用においては自由であり、他国に先んじています。特に中国が厳しい態度を示しているので、中国に相対する地理条件にある日本は中国人富裕層が暗号通貨を購入する「楽園」にするのが、勝ち筋。カジノなんかとはものが違うマネーの流入を日本にもたらせますし、暗号通貨で色々支払えるなら、買い物が大好きな中国人の観光旅行先に選ばれやすくなります。彼らは常に、香港、台湾などと日本を秤にかけています。円安も重要な要素ですが。

結論

金曜日にマスコミの滅多打ちがあって、土曜深夜に潤沢すぎるほどのキャッシュリッチさをCCが示すという「速度感」に驚きます。そして、その間にも幾つかの有用なプロジェクトは開発を進め、次のイノベーションをうもうとしています。余りにもクレイジーで、それがとても気に入りました。学習しがいがある領域です。


Also published on Medium.

コメントを残す