ハッカーは、ビットコイン取引を仲介する2つのウェブサイト、FlexcoinとPoloniexの口座にセキュリティ上の脆弱性を発見し、これを悪用して両サービスからビットコインを盗み出しました。この攻撃により、Flexcoinは事業を停止し、Poloniexのユーザーは保有ビットコインの12.3%を失いました。
「世界初のビットコイン銀行」を自称するフレックスコインは月曜日、ハッカーが同社の「ホットウォレット」(インターネットに接続されたビットコインウォレット)から896ビットコイン(約60万ドル相当)を盗んだことを受け、閉鎖すると発表した。同社は火曜日遅くにウェブサイトに掲載したアップデートで、ハッキングに関する詳細を明らかにした。
Flexcoinはアップデートの中で、攻撃者はまずFlexcoinの新規アカウントを作成し、そこにビットコインを入金したと述べています。その後、「Flexcoinユーザー間の送金を可能にするコードの脆弱性を悪用することに成功した」と同社は述べています。「数千件のリクエストを同時に送信することで、攻撃者はコインをあるユーザーアカウントから別のユーザーアカウントに『移動』させ、送信元アカウントが残高不足になるまで、残高が更新されるまで続けました。その後、複数のアカウントでこの操作を繰り返し、金額をスノーボール式に増やし、最終的に攻撃者はコインを引き出しました。」
同社はこの脆弱性をフロントエンドの欠陥だと説明したが、システムが過剰引き出しを考慮しなかった理由については明らかにしなかった。
「Flexcoinの説明は、10年前にオンラインバンキングアプリケーションで見られた脆弱性を思い出させます」と、セキュリティ企業ImpervaのCTO、アミチャイ・シュルマン氏はメールで述べた。「個々の脆弱性は許容できますが、それをタイムリーに検出するための監視体制が整っていないのは許されません。」
「詳細が不明なため、状況がどれほど複雑だったかを正確に言うのは難しいが、複数のアクティブアカウントとリクエストが必要だったという事実は、基本的なテストでこの状況を発見できた可能性は低いことを物語っている」と、セキュリティ企業トリップワイヤーのセキュリティリスク戦略ディレクター、ティム・アーリン氏は電子メールで述べた。
しかし、脆弱性が複雑だったか初歩的だったかは、それが及ぼした影響ほど重要ではないとアーリン氏は述べた。「この欠陥の深刻さは、その影響の大きさによって証明されています。Flexcoinは事業を停止しました。」
重複引き出し
ビットコイン取引所Poloniexも火曜日、攻撃者が口座残高不足を引き起こす手法を用いて、同取引所の資金の12.3%を盗んだと発表した。しかし、この攻撃がFlexcoinへの攻撃と関連しているかどうかは不明である。
「ハッカーは、複数の出金をほぼ同時に行うと、ほぼ同時に処理されることを発見しました」と、Poloniex取引所の所有者を名乗るbusoniというユーザーがBitcoinTalkフォーラムで述べた。「これにより残高はマイナスになりますが、データベースへの有効な入力は行われ、出金デーモンによって取得されます。ここでの大きな問題は、監査機能とセキュリティ機能がマイナス残高を明示的に検出していなかったことです。」
PoloniexはFlexcoinよりも幸運でした。なぜなら、異常な出金活動を検知し、攻撃者がさらなる被害をもたらす前に取引を凍結したからです。問題が解決するまで、取引所からの出金は停止されています。
ポロニエックスの所有者は、資金の12.3%が何ビットコインに相当するかは明らかにしなかったが、失われた金額を全ユーザーの残高から均等に差し引き、手続きを迅速化するために引き上げられる交換手数料から、そのうち回収する予定である。
彼はまた、負債の一部を自己資金で返済するつもりだが、全額を返済するわけではないと述べた。「もし今すぐに全額返済できるお金があれば、すぐにでも返済するだろう」と彼は言った。「ただ、そんな余裕はない。何もないところからお金を引き出すこともできない」
フレックスコインとポロニエックスの事件は、マウントゴックスがハッカーらが有名なビットコイン取引所から大量のビットコインを盗んだと発表した後に発生し、同社は先週破産宣告に至った。
「カードの塔」
シュルマン氏は、ビットコイン取引所やその他のサービスからの盗難につながった過去数か月間のセキュリティ侵害の傾向を懸念している。
「ビットコイン関連の『金融』組織が、まるでトランプの塔のように崩壊していくのを目の当たりにしています」と彼は述べた。「オンライン攻撃から(経済的に)回復する能力が全くないというのは、成熟した金融市場では想定外のことです。ビットコインユーザーが今、苦い経験を通して学んでいるのは、既存の『中央集権的』で規制された金融インフラ(例えば、監督や保険など)には、ある程度のメリットがあるということです。」
アーリン氏は、最近のビットコイン盗難の急増は、ビットコインが有効な通貨システムであることを示す証拠だと考えている。しかし、「市場がビットコインの保護レベルを成熟させれば、ビットコインは有効な通貨システムであり続けるだろう」と同氏は述べた。
「ビットコインのプロセスの実装を監査する監視機関も、通貨を裏付ける組織も存在しないため、今後このような事件がさらに発生し、その一部は個人だけでなく、Flexcoinのような企業にも影響を及ぼすだろう」と、トリップワイヤーのCTO、ドウェイン・メランコン氏は電子メールで述べた。
Bitcoin wikiサイトによると、大量のビットコインをホットウォレットに保管することは「根本的にセキュリティ上問題がある」とのことです。ビットコイン取引所では、即時引き出しを可能にするために一部の資金をホットウォレットに保管するのが一般的ですが、ベストプラクティスとしては少額のみに留めておくことが推奨されます。
Flexcoinは、「Flexcoinは、定期的なテストを含め、サーバーのセキュリティを可能な限り維持するためにあらゆる努力をしてきました」と述べています。「設立から3年ほどで、数千件もの攻撃を撃退してきました。しかし、結局のところ、それだけでは十分ではありませんでした。」
「これまで数え切れないほどの時間を費やして努力してきた私たちの小さな会社が、このような形で破綻するなんて、決して意図していませんでした」と同社は述べた。「私たちは顧客、事業、そして最終的にはビットコインコミュニティに失望させてしまいました。」
