11月11日に「予期せぬ偶発的なハードフォーク」が発生したことを受け、イーサリアムの開発者たちは、重大なバグについての情報公開の手順変更を検討している。
イーサリアム最大のクライアントソフトウエアのGethが投稿した技術文書によると、今回の大規模障害はユーザーがテストとして行ったアップデートが発端となり、30ブロックのチェーンが生成されることになった。
Gethは公開された情報に従って、10月初旬に大規模障害の要因となったバグを修正していたが、旧バージョンのGethにはバグが残ったままだった。バグ修正のためのアップデートが実行されたことで、アップデートをスルーしたノードとの間で一時的に別のチェーンを発生させることになった。
2016年のThe DAOへのハッキング以来の最大の脅威と呼ばれる事態を受けて、開発者たちはセキュリティの脆弱性を開示する手順の見直しを進めている。
脆弱性の開示はリスクにつながるか
この問題はさまざまな負担を伴う。
イーサリアムのようなオープンソースソフトウェア(OSS)に共通する理念は、開発者に「脆弱性の影響を受ける人たちにタイムリーに通知」することを求めていると述べるのは、相互運用ソリューションを提供するスムマ(Summa)の創業者であるジェームズ・プレストウィッチ(James Prestwich)氏。
言い換えれば、Gethにはユーザーに対して、起こりうる複雑な問題についての注意喚起を行う責任があるということだ。
しかし、ブロックチェーンの最も中核的な部分は、金融決済メカニズムであることだ。OSSにおいてバグを開示する従来の方法は、ブロックチェーン上に資金を保有している他のプレイヤーにとって、望ましくない結果をもたらす可能性がある。
ユーザーの安全が最優先
11月13日、イーサリアムの主要デベロッパーが参加した会議では、開発者のミカ・ゾルトゥ(Micah Zoltu)氏とGethのチームリーダー、ペーター・シラギー(Peter Szilágii)氏の2人が、重大な脆弱性を並べたリストを公表することに反対した。
ゾルトゥ氏は、そうしたリストは不平等な競争環境を生み出すと主張。シラギー氏は、バグが開示されるたびに、イーサリアムインフラの弱点をさらすことになると語った。
例えば、DeFi(分散型金融)のほとんどが利用しているサービスプロバイダーであるInfuraにバグを早期に開示することは、競合他社に対する不公平なアドバンテージとなる。さらに、リストから重要情報がハッカーなどに流出すれば、エコシステム全体への影響は深刻なものになりかねない。
再度同じ機会があれば、同じ方法で情報公開を行うとシラギ氏は述べた。つまり、バグを秘密にしておくというわけだ(だが同氏は会議のある時点では、古いバージョンのGethに脆弱性があることをユーザーに知らせるべきだったと述べていた)。Gethは他の脆弱性については、そうしていると同氏は述べた。
「情報開示は複雑な話題であり、ユーザーの安全が最優先」とプレストウィッチ氏は会議を締めくくった。
翻訳:新井朝子
編集:増田隆幸、佐藤茂
画像:Gethが投稿した技術文書(出典:Ethereum Blog)
原文:Developers Debate Disclosure Protocols After ‘Accidental’ Ethereum Hard Fork
