リブラ(Libra)のオープンソースコードの脆弱性により、悪意あるユーザーがスマートコントラクトを操作し得たことが明らかになり、第三者機関である仮想通貨専門の監査企業が修正を施した。
具体的には、スタートアップ企業のオープン・ツェッペリン(OpenZeppelin)の開発者が、フェイスブック(Facebook)、リフト(Lyft)、ウーバー(Uber)、マスターカード(MasterCard)など大手企業が推し進めるオープンソース仮想通貨プロジェクト「リブラ」のためにフェイスブックが開発した言語であるMoveに脆弱性を発見した。もし実行可能コードに脆弱性が認められていれば、リブラチームにとって深刻な状況になっていた可能性が高い。
「Move IR(Move intermediate representation)のコンパイラの脆弱性は、悪意のあるユーザーが、インラインコメントに扮してスマートコントラクトに実行可能コードを組み込むことを可能にするものだった」とオープン・ツェッペリンのCEO、ダミアン・ブレナー(Demian Brener)氏がコインデスクに語った。
同氏はまた「この脆弱性が実装前に発見され、修正されたことは良い知らせです。ブロックチェーン周りでは、そこまででもないと考えられた問題点が、結果的に非常に深刻な問題になり得ます。それだけ、監査できる余地が大きいことが信頼に繋がるのです」と述べた。
フェイスブック「リブラ」の例を筆頭に需要を見込む監査企業
2015年創業の同社は、コインベース(Coinbase)、ブラウザのブレイブ(Brave)、イーサリアム財団(Ethereum Foundation)などの主要な仮想通貨、ブロックチェーン、インターネット関連企業と連携している。Moveの製作者たちは、フェイスブックの子会社でウォレット開発を専門にするカリブラ(Calibra)で働き、この言語でクリエイティブ・コモンズ・ライセンスに基づき非営利のリブラ協会(Libra Association)にも協力している。
同氏によると、問題のコードが8月6日(現地時間)にリブラに報告された後、リブラチームは1カ月にわたって検証およびバグの修正を行った。9月4日(現地時間)時点で、オープン・ツェッペリンによる検査と修正確認は完了している。
リブラのステーブルコインは、プログラム可能な一定の機能を有する見込みで、たとえばスマートコントラクトの作成などが想定される。こうしたスマートコントラクトの機能について全貌はまだ明らかになっていない。
リブラチームは結果に対し迅速に対応した、とブレナー氏はコインデスクに語った。
引き続きプロトコルが規模も範囲も大きくなっていく中で、監査はますます重要になっていくばかりだ、と同氏は述べ、リブラのようなプロジェクトは世界中で利用される可能性があり、さらなる精査が求められる、と続けた。
「我々はこれらのシステムがいかに巨大で複雑であるかを目の当たりにしています。これから出現してくる数多くの同様のシステムの中で先陣を切っているのがリブラです。そして、これらのシステムは実装され、何十億人もの何百万ドルというお金を扱うことになります。こうした複雑なシステムが一体どういうものなのか、知ることが肝要です……人々はこれが今後どういったことをなし得るのか認識する必要があります」
オープン・ツェッペリンは8月に、分散型金融プロトコルであるコンパウンド(Compound)の監査を完了した。これは少額の無利息ローンを取り扱う機能を有するもので、同プロジェクトは9月10日(現地時間)にコインベースから出資を受けている。
翻訳:石田麻衣子
編集:T. Minamoto
写真:CoinDesk archives
原文:Vulnerability Fixed in Facebook Contract Language for Libra Cryptocurrency