暗号資産(仮想通貨)取引サービスを手がけるリキッド(Liquid)は8月19日、同社シンガポール法人のQUOINE PTEが利用するウォレットがハッキングの被害を受けたと発表した。
「このたび、弊社のシンガポール現地法人であるQUOINE PTEが利用しているMPCウォレット(暗号資産の入出庫管理に利用)がハッキングの被害を受けました」(同社ブログ)
被害額は、約1億ドル(110億円)にのぼると見られている。
暗号資産の世界ではハッキングは珍しいことではないが、リキッドのハッキングは、MPC(multiparty computation:マルチパーティ計算)技術が狙われたことで注目を集めている。MPCは暗号資産への参入を検討している銀行や大手企業が採用する高度な技術だ。
MPC(マルチパーティ計算):暗号資金を管理する秘密鍵を複数の断片に分割して保管し、共有することなく(分割したまま)運用する技術。
MPCを採用した企業をめぐる動きは、この技術に対する需要を示している。例えば、米決済大手ペイパルは3月にカーブ(Curv)を買収、6月には米暗号資産取引所ジェミニ(Gemini)がShard Xを買収した。世界有数のカストディバンク、バンク・オブ・ニューヨーク・メロン(BNYメロン)は今年はじめ、MPCプロバイダーのファイヤーブロックス(Fireblocks)と提携している。
暗号資産への参入を検討している銀行は、MPCに期待している。なぜなら、MPCはさまざまな要件に対応できるうえ、より柔軟なセルフカストディ製品の提供が可能となるからだ。
MPCの罪?
だが、MPCウォレットの柔軟性の高さは、「ヒューマンエラー」という弱点が入り込む余地につながるとファイヤーブロックスのCEO、マイケル・シャウロフ(Michael Shaulov)CEOは語った。
リキッドはイスラエル企業、アンバウンド・セキュリティ(Unbound Security)が提供するMPC技術を使用していたという。アンバウンドは高い評価を受けている企業で、ゴールドマン・サックスが支援し、JPモルガン・チェースはグローバル決済ネットワーク子会社「オニキス(Onyx)」でその技術を採用している。
アンバウンドの広報担当者はCoinDeskの取材に「当社の権限外の事柄についてはコメントを控える」と述べた。
シャウロフCEOによると、19日のリキッドのハッキングは、昨年11月に同取引所のシステムがハッキングされ、セキュリティ設定に関するデータが盗まれたことと関連している可能性があるという。
「今回の攻撃は、MPCを使ったリキッドのホットウォレットを狙ったものだが、MPCの脆弱性とは無関係と考えている」(シャウロフCEO)
同氏の見解では、リキッドのセキュリティポリシーは、ハッカーが同取引所の承認プロセスを回避し、ウォレットから暗号資産を引き出すことが可能な設計になっていた可能性が高い。
「私のビジネスでは、0%のものはない。しかし、ハッカーがアンバウンドのMPCプロトコルを使って何かを見つけ出すことができた可能性はきわめて小さい」とシャウロフCEOは述べた。
MPCを搭載したウォレット「ZenGo」のチーフ・セキュリティ・オフィサー、タル・ベアリー(Tal Be’ery)氏も同様の見解だ。
「ほとんどの場合、MPCではなく、他の問題である可能性が高い。MPCはキーが盗まれるリスクを大幅に削減できる。だがゼロではない」
MPCだけでは不十分
リキッドのハッキングは、MPCだけでは不十分なことを証明したとイスラエルのカストディ技術会社、GK8の共同創業者兼CEOのリオル・ラメッシュ(Lior Lamesh)氏はコメントした。同社はMPCをコールドウォレットと組み合わせて使用している。
ラメシュ氏は、ハッキングは投資対効果の問題であり、ハッカーはインターネットに接続された数台のコンピューターに侵入するために平均して数百万ドルを投資していると考えている。同氏によると、MPCとは秘密鍵を分割して、インターネットに接続された2、3台のコンピューターに保存されていることを意味する。
分割する数が多ければ多いほど攻撃コストは高くなるが、数億ドルを狙うハッカーにとっては攻撃する価値があることに変わりはない。
「MPCはホットウォレットよりも安全だが、数千万ドル以上の暗号資産を管理する銀行にとっては不十分だ。しかし、例えば2%、あるいは3%の暗号資産の管理には問題ない。一方で大部分の暗号資産はインターネットから切り離された100%安全なコールドウォレットで管理される」とラメッシュ氏はインタビューで語っている。
|翻訳:coindesk JAPAN
|編集:増田隆幸
|画像:Elena Mozhvilo/Unsplash
|原文:Liquid Exchange Attack: Can a Crypto Wallet Ever Be 100% Safe From Hacks?