[해외] 가상화폐 허점 <이더러움 클래식>
가상화폐 허점 <이더러움 클래식> 공격서 부각되게
1/17(목) 8:11송신 WIRED.jp
PHOTO: BENEATHBLUE/GETTY IMAGES
비트코인 등 가상통화(암호통화, 암호자산)가 보증하는 것은 돈을 주고받는 상대를 신뢰할 필요가 없다는 것이다.이들 시스템은 인간이나 인간의 불완전한 판단이 아니라 수학의 법칙에 의존하고 있다.
비트코인의 가격인하는 앞으로도 계속된다?
그런데 최근 이더러움 클래식(Ethereum Classic)(후술하지만 오리지널의 이더러움 프로젝트와는 다르다)이 공격받아 디지털 시스템에서 인간적 약점을 제거하는 데 어려움이 다시 한번 드러났다.
다른 암호 통화와 마찬가지로 이더러움·클래식도 블록 체인으로 불리는 분산형 대장이 증명되어 있다.네트워크상에서 거래를 처리하는 머신들이, 이러한 블록 체인을 만들어내, 공유하고 있다.
블록 체인에서는 가상 토큰을 반복해 사용할 수 있는 사람이 없도록 설계되어 있다. 단, 네트워크상에 있는 머신의 51퍼센트 이상을 누군가가 탈 수 없으면, 이라는 조건이다.그리고 얼마 전 이 탈취가 발생한 것 같다.
누군가가 51퍼센트 이상을 빼앗아
통화거래소의 동전 베이스는 1월 7일(미국 시간) 이더러움·클래식의 플랫폼에서 5일에 이중 사용이 발각된 것과 이더러움·클래식등의 거래를 중지했다고 밝혔다.다른 거래소인 크라켄(Kraken)도 이어 같은 발표를 했다.
동전 베이스의 시큐리티 엔지니어인 마크·네즈비트는 블로그 투고에서, 이더러움·클래식의 토큰의 이중 사용 12건(총액 약 110만 달러, 약 1.1억엔 상당)을 발견했다고 말하고 있는[편주:거래소 Gate.io는 12일, 51퍼센트 공격을 실시한 실행자로부터, 합계 10만 달러(1,086만엔) 상당한 ETC가 반환된 것을 공식 블로그로 보고하고 있다.
이더러움 클래식은 인기가 정상급 암호통화인 것은 아니다.코인마켓캡에 의하면, 4일 시점의 시가총액은 5억 5,350만 달러(약 600억엔)였다. 덧붙여서, 오리지널의 이더러움 프로젝트의 통화인 이사(ether)는 시가총액이 163억 달러( 약 1.8조엔), 비트코인은 시가총액이 675억 달러( 약 7.3조엔)이다.
코인 베이스의 네즈비트는 "WIRED"US판에 대해서, 누군가가 이더러움·클래식의 네트워크의 51%이상을 빼앗은 결과, 공격자에 의한 이력의 개서가 사실상 가능하게 되었다고 설명. 결과적으로 이중사용이 가능해졌다는 것을, 동전 베이스는 "매우 강하게 확신하고 있다"라고 말했다.
이더러움 클래식의 팀은 Twitter에서, 문제를 조사중이지만 이중 사용이 있던 것은 확인 되어 있지 않다고 발표했다. 또, 정지를 발표하기 전에 동전 베이스로부터 연락이 없었던 것을 비판했다.
네즈비트는 코인베이스가 7일 이설리아 클래식의 팀 연락을 시도했으나 여의치 않아 현재 연락이 되고 있다고 밝혔다.이더러움·클래식에 코멘트를 요구했지만, 회답은 없었다.
탈취의 수단은 불명
이더러움 클래식의 네트워크의 51%가 어떻게 장악됐는지는 밝혀지지 않았다.블록 체인이 이러한 공격에 약한 것은, 암호 통화의 관측통 사이에서는 옛부터 알려져 있었지만, 주요한 암호 통화 프로젝트의 탈취가 성공한 적은 지금까지 없었다.이것은 하나로는, 나머지의 네트워크를 몰아낼 수 있을 만큼의 컴퓨터를 준비하려면, 매우 돈이 들기 때문이다.
이더러움클래식의 대장을 고쳐 쓰는 힘을 얻고, 토큰을 여러 번 사용한 사람이 있는 것이라면, 소프트웨어의 개발자, 그리고 소프트웨어를 달리게 하는 머신의 소유자는, 향후 어떻게 할지 판단하는 것이 필요하게 된다.
하나의 방법으로서는, "이중 사용을 취소하는 신 버젼의 블록 체인"에 의한 신 버젼의 소프트웨어를 공개해, 유저가 채용하는 것을 기대하는 것을 생각할 수 있다.그러나 블록 체인으로 변경을 더하면 그것은 이설리아 클래식 프로젝트의 존재 의의에 역행하게 된다.
거래 취소는 실현될 것인가
이더러움 클래식은 2016년에 창설된 "The DAO"(분산 자율조직이라고 하는 투자 스킴으로부터, 약 500만 달러( 약 5억엔) 상당한 이사가 해커에게 도둑맞은 것을 받은 것이다.
이때는 The DAO의 프로그래머들의 실수로 도둑맞은 것이었고, 이더러움의 블록 체인 자체에 대한 공격은 아니었다.그러나 이더러움 팀은 도난당한 토큰을 원래의 소유자로 되찾기 위해 블록 체인을 변경하기로 했다.
이때 블록 체인의 변경이라는 판단을 거부했던 이섬 카페 회원들이 이설리아 클래식을 만들었다.요컨대 일리암 클래식의 이용자들은 도난당한 암호통화가 The DAO 사건 해커의 가상월렛에 들어 있음을 보여주는 이더러ㅜㅁ대장을 계속 사용하기로 선택한 사람들이다.
그 대장은, 오리지널의 이더러움의 네트워크상에서 이루어진 그 후의 거래를 무시하고 있다.마찬가지로 오리지널 이더러움 대장은 이더러움클래식의 네트워크상의 거래를 무시하고 있다. 즉, 이더러움 클래식의 네트워크에 대한 공격은 오리지널 이더러움 프로젝트에는 영향을 주지 않는다.
이더러움 클래식에 대한 공격은 블록 체인이 직접 고쳐 쓴 것 같다는 점에서 The DAO에 대한 공격과는 다르다.이번 공격으로 문제를 일으키는 거래를 취소한다는 주장의 정당성이 강해졌다고 커뮤니티는 판단할지도 모른다.
어쨌든, 향후 어떻게 할지는, 소프트웨어가 아닌 커뮤니티의 판단이 된다.암호 통화로서는 새로운 불명예이며 블록 체인이 인간의 책략이나 판단과 전혀 무관하지 않음을 상기시키는 사건이다.
KLINT FINLEY
仮想通貨の弱点が、「イーサリアム・クラシック」への攻撃から浮き彫りに
1/17(木) 8:11配信
ビットコインなどの仮想通貨(暗号通貨、暗号資産)が保証しているのは、「お金をやり取りする相手」を信頼する必要はないということである。というのも、人間がシステムをだませないように構築されているからだ。これらのシステムは、人間や、人間の不完全な判断ではなく、数学の法則に頼っている。
ビットコインの値下がりは今後も続く?
ところが最近、「イーサリアム・クラシック(Ethereum Classic)」(後述するが、オリジナルのイーサリアム・プロジェクトとは異なる)が攻撃され、デジタルシステムから人間的な弱点を取り除くことの難しさが改めて明らかになった。
ほかの暗号通貨と同様に、イーサリアム・クラシックもブロックチェーンと呼ばれる分散型台帳が裏付けになっている。ネットワーク上で取引を処理するマシンたちが、こうしたブロックチェーンをつくり出し、共有している。
ブロックチェーンでは、仮想トークンを繰り返し使える人がいないよう設計されている。ただし、ネットワーク上にあるマシンの51パーセント以上を誰かが乗っ取ることができなければ、という条件つきである。そして先日、この乗っ取りが発生したようだ。
通貨取引所のコインベースは1月7日(米国時間)、イーサリアム・クラシックのプラットフォームで5日に二重使用が発覚したことと、イーサリアム・クラシックなどの取引を中止したことを明らかにした。別の取引所であるクラーケン(Kraken)も、続いて同様の発表をした。
コインベースのセキュリティエンジニアであるマーク・ネズビットはブログ投稿で、イーサリアム・クラシックのトークンの二重使用12件(総額約110万ドル、約1.1億円相当)を発見したと述べている[編註:取引所Gate.ioは12日、51パーセント攻撃を行なった実行者から、計10万ドル(1,086万円)相当のETCが返還されたことを公式ブログで報告している]
イーサリアム・クラシックは、人気がトップクラスの暗号通貨というわけではない。コインマーケットキャップによると、4日時点の時価総額は5億5,350万ドル(約600億円)だった。ちなみに、オリジナルのイーサリアムプロジェクトの通貨であるイーサ(ether)は時価総額が163億ドル(約1.8兆円)、ビットコインは時価総額が675億ドル(約7.3兆円)だ。
コインベースのネズビットは『WIRED』US版に対して、何者かがイーサリアム・クラシックのネットワークの51パーセント以上を乗っ取った結果、攻撃者による履歴の書き換えが事実上可能になったと説明。結果として二重使用が可能になったことを、コインベースは「非常に強く確信している」と語った。
イーサリアム・クラシックのチームはTwitterで、問題を調査中だが二重使用があったことは確認できていないと発表した。また、停止を発表する前にコインベースから連絡がなかったことを批判した。
ネズビットは、コインベースは7日にイーサリアム・クラシックのチームへの連絡を試みたがうまく行かず、いまは連絡を取っていると話している。イーサリアム・クラシックにコメントを求めたが、回答はなかった。
イーサリアム・クラシックのネットワークの51パーセントがどのようにして掌握されたのかは、明らかになっていない。ブロックチェーンがこうした攻撃に弱いことは、暗号通貨の観測筋のあいだでは昔から知られていたが、主要な暗号通貨プロジェクトの乗っ取りが成功したことはこれまでなかった。これはひとつには、残りのネットワークを追い出せるだけのコンピューターを準備するには、とてもお金がかかるからだ。
イーサリアム・クラシックの台帳を書き換える力を手にし、トークンを複数回使った者がいるのだとすると、ソフトウェアの開発者、それにソフトウェアを走らせているマシンの所有者は、今後どうするか判断することが必要になる。
ひとつの方法としては、「二重使用を取り消す新ヴァージョンのブロックチェーン」による新ヴァージョンのソフトウェアを公開し、ユーザーが採用するのを期待することが考えられる。しかし、ブロックチェーンに変更を加えれば、それはイーサリアム・クラシック・プロジェクトの存在意義に逆行することになる。
イーサリアム・クラシックは2016年に創設された。「The DAO」(分散自律組織という意味)という投資スキームから、約500万ドル(約5億円)相当のイーサがハッカーに盗まれたのを受けてのことだ。
このときは、The DAOのプログラマーたちのミスによって盗まれたもので、イーサリアムのブロックチェーン自体への攻撃ではなかった。しかしイーサリアムのチームは、盗まれたトークンを元々の所有者に取り戻すため、ブロックチェーンを変更することにした。
このとき、ブロックチェーンの変更という判断を拒絶したイーサリアムコミュニティのメンバーが、イーサリアム・クラシックをつくった。要するに、イーリアム・クラシックのユーザーは、「盗まれた暗号通貨がThe DAO事件のハッカーの仮想ウォレットに入っていることを示すイーサリアムの台帳」を使い続けることを選んだ人たちなのだ。
その台帳は、オリジナルのイーサリアムのネットワーク上でなされたその後の取引を無視している。同様に、オリジナルのイーサリアムの台帳は、イーサリアムクラシックのネットワーク上の取引を無視している。つまり、イーサリアム・クラシックのネットワークへの攻撃は、オリジナルのイーサリアム・プロジェクトには影響しない。
イーサリアム・クラシックへの攻撃は、ブロックチェーンが直接書き換えられたらしい点で、The DAOへの攻撃とは異なる。プロジェクト外で開発されたソフトウェアにあったバグの悪用よりも深刻な問題だ。今回の攻撃で、問題を引き起こす取引を取り消すという主張の正当性が強まったと、コミュニティは判断するかもしれない。
いずれにせよ、今後どうするのかは、ソフトウェアではなくコミュニティの判断になる。暗号通貨としては新たな不名誉であり、ブロックチェーンが人間の策略や判断とまったく無縁なわけではないことを思い起こさせる出来事だ。
KLINT FINLEY
