#WIRED
(続き)(略) ベドナレクらは、ブロックチェーン盗賊が保有するアカウントの取引記録を調べた。すると、このアカウントには過去3年で数千のアドレスからイーサを受け取っていたものの、そこから別のアドレスに送金された記録はないことがわかった。ベドナレクは、自動的なイーサコーミングを用いた資金移動だと考えている。ブロックチェーン盗賊のアカウントには、イーサの交換レートがピークに達した18年1月時点で、38,000イーサが保管されていた。その価値は当時のレートで5,400万ドル(約58億円)以上だ。しかし、イーサの価値はその1年後に急落し、窃盗犯の保有している仮想通貨の価値は約85パーセント減少した。「気の毒だと思いませんか?」と、ベドナレクは笑う。「この窃盗犯はこれほどの大金をかき集めたあげく、市場の暴落によってすべてを失ったのです」ベドナレクによれば、ブロックチェーン盗賊の動きは追跡できたものの、何者であるかは見当がつかないという。北朝鮮政府が仮想通貨の取引所などを狙って、5億ドル以上相当の仮想通貨をこの数年で盗み出したとする報道もあるが、「これが北朝鮮のような国家の仕業だったとしても驚きません。でもすべては憶測にすぎないのです」と彼は話した。(略) ベドナレクいわく、今回ISEが発見したイーサコーミングの教訓はこうだ。ウォレットの開発者は自分たちのコードを慎重にチェックし、鍵を短く脆弱なものにする危険性があるバグを見つけ出さなければならない。またユーザーも、自分たちが選ぶウォレットに注意をはらう必要がある。「ヘルプデスクに電話をかけて、取引の取り消しを依頼することはできません。一度どこかに移されれば、永久に失われてしまうのです」と、ベドナレクは指摘する。したがって、「信頼できるウォレットを使用し、信頼できるソースからダウンロードすること」が求められる。"、改めてまとまって書かれてるコードの注意喚起。今回はイーサについて。久々にこう言う記事読んだ(^_^;)↓
『そのブロックチェーンの“盗賊”は、かくして秘密鍵をハックして「仮想通貨の長者」になった --- WIRED(日本語版)』 https://wired.jp/2019/06/24/blockchain-bandit-ethereum-weak-private-keys/ #WIRED
"仮想通貨(暗号通貨、暗号資産)「イーサ」を盗み出す方法はないか──。2018年夏、セキュリティコンサルタントのエイドリアン・ベドナレクは頭をひねっていた。仮想通貨の窃盗が相次いでいた当時、ベドナレクは渦中の業界のクライアントを担当していたのである。(略) 秘密鍵は通常78桁の数値で構成されており、特定のアドレスに保管された仮想通貨を保護する役割を果たす。では、仮想通貨を保有している人のなかに、「1」という極めて単純な秘密鍵を設定して通貨を保管している人はいるのだろうか? 彼はイーサリアムの取引がすべて記録されたブロックチェーンを調べて驚いた。この単純すぎておよそ意味をなさないであろう秘密鍵が、実際に仮想通貨の保管に使われていたのだ。そして、この秘密鍵が使われていたイーサリアムウォレットに保管されていた通貨は、そこからすでに抜き取られていた。抜き取ったのは、おそらくベドナレクよりずっと前に「1」という秘密鍵が使われていると推測した窃盗犯だろう。(略) この発見が、ベドナレクの好奇心を刺激した。そこでさらに「2」「3」「4」……と順番に数十種類の秘密鍵を調べたところ、いずれもウォレットが同じように空になっていたという。こうした状況を受け、彼はセキュリティコンサルタント会社Independent Security Evaluators(ISE)の同僚とともにコードを書き、いくつかのクラウドサーヴァーを活用して数十億の秘密鍵を調べてみることにした。(略) この調査の過程で、数百種類の推測されやすい秘密鍵が仮想通貨の保管にこの数年で使用されていたことがわかった。そればかりか、ベドナレクらが「ブロックチェーン盗賊(blockchain bandit)」と呼ぶ存在も浮かび上がってきた。あるアカウントが、秘密鍵を推測する同様の手法によって45,000イーサ(一時は5,000万ドル、約54億円以上に相当)も吸い上げていたようなのだ。これについて、ISEは19年4月に発表した論文で詳細を報告している。(略) ランダムに生成されたイーサリアムの秘密鍵を探し当てるということは、2の256乗の組み合わせから正解を当てるということだ。この2の256乗という値は、宇宙にある原子の数と同じくらいだとされている。(略) しかし、ベドナレクがイーサリアムのブロックチェーンを調べたところ、仮想通貨の所有者のなかには推測されやすいごく単純な秘密鍵を使って仮想通貨を保管している人たちがいたことを示す証拠が見つかった。このようなあやまちが起こった原因としては、ウォレットのコーディングエラーによって鍵の長さが短くなってしまった可能性や、経験のないユーザーが自分で秘密鍵をつくれる仕様になっていた可能性、あるいはウォレットに仕組まれた悪質なコードによってランダム生成プロセスが改ざんされ、開発者が推測しやすい鍵が生成される仕組みになっていた可能性などが考えられるとベドナレクは言う。(文字数制限の為次に続く) #WIRED
