今日(米国時間11/7)、ポピュラーな暗号通貨、Ethereumを悪いニュースが襲った。今回発見された脆弱性は何億ドルものEthereum資産に影響を与えるという。この問題はEthereumにとってここ数か月で2度目の深刻な打撃だ。
有力なウォレット・サービス、Parityを提供しているParity Technologiesは今日、ウォレットを消してしまう可能性のある問題を公開した。
この脆弱性は7月20日以降にリリースされたマルチシグ(セキュリティーを強化するため複数が合意して署名することが必要な)ウォレットで発見された。つまりそれ以降のICO〔Initial Coin Offering=暗号通貨によるクラウド資本調達〕はこの脆弱性の影響を受けている可能性がある。
これがここ数か月でParityに発見された2度目の重大なバグなのは大きな問題だ。時価総額270億ドルという暗号通貨として世界2位の価値を持つEthereumだけに影響も巨額に上るおそれがある。
7月に入ってParityのマルチシグ・ウォレットに発見されたバグのために15万 ETH(その時点の価値で3000万ドル前後)が盗難にあった。このバグは7月19日に修正された。これが7月20日という日付が重要となる理由だ。 前回の脆弱性の発見にポジティブな要素があるとするなら、Ethereumに興味を示していた多くの企業が恐れをなしてICOから遠ざかったことかもしれない。Parityを利用してICOを行った企業もマルチシグ方式を取らなかった可能性が高い。
そうではあっても、これはセキュリティー上、深刻な問題だ。Parityの説明によれば、これはあるユーザーのウォレットが消失したことによって発見されたという。
〔バグを修正した新しいウォレット〕は7月20日にリリースされたが、そのコードに別のバグが含まれていた。 これはinitWallet関数をコールすることによってParityウォレットを通常のマルチシグ・ウォレットに変えてそのオーナーとなることができるというものだった。2017年11月6日、 02:33:47 PM +UTCに偶然このコールが実行され、その結果、あるユーザーはウォレットのライブラリーを新たなウォレット中に入れてしまい、ライブラリーを自爆させた。つまりウォレットを開くために必要なコード自身がウォレット中にあることになった(ウォレットの現状を変更するには署名が必要だというロジックであるにもかかわらず、それに必要なコードがウォレット中にあって〔取り出せなくなった〕)。
Parityウォレットがスマートコントラクトであるという点にすべての問題の原因があるようだ。
Parityはそのウォレットを通常のコントラクトとは考えていないだろう。Parityのコードはライブラリーにあり、Parityはこれをdelegatecallによって直接実行する。
現在のところ、このバグによって盗難、消失などの被害を受けた事例は報告されていない。しかし巨額のEthereum通貨が危険な状態にあることは間違いない。
UCL〔ユニバーシティー・カレッジ・オブ・ロンドン〕の暗号通貨研究者、 Patrick McCorryの推計によれば、少なくとも60万ETH(1億5000万ドル)がロックされたという。McCorryはTechCrunchに対して「Parityの利用範囲やウォレットの額などの情報が詳しく判明すればこの数字ははるかに高くなるだろう」と語った。
影響を受けた有名企業にはPolkadotが含まれる。TechCrunchでも報じたように、このプロジェクトはプライベート・ブロックチェーンとパブリック・ブロックチェーンをリンクさせるもので、ICOにより1億4000万ドルを調達している。ファウンダーはParityの共同ファウンダーでもあるGavin Woodだ。Polkadotはそのウォレットが凍結中であることを確認した。PolkadotのICO総額の60%が影響を受けているとTechCrunchでは考えている。
Parityでは現在この問題を調査中だ。同社のツイートによれば影響を受けたウォレットは凍結(ロック)されたと考える一方、影響を受けたETH総額についての情報は「推測だ」としている。
アップデート:われわれが知る限り、〔資金は〕凍結されており、移動は一切不可能だ。ETH総額についてのメディアの情報は推測にすぎない。
Ethereumの価格は脆弱性のニュースを受けて305ドルから291ドルに下落した。この2週間での新安値だ。今後の値動きは脆弱性の深刻さと影響の及ぶ範囲によるだろう。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)