欧州の仮想通貨交換所のEtherbaseがハッカーに襲われ540万ドル相当の資金を流出したと報じられていました。
www.tripwire.com
キタきつねの所感
仮想通貨取引所は日本でもMT.Gox、Coincheck、ビットポイントジャパンなど複数の取引所が過去にハッカーにより攻撃を受け、資金を流出しています。
そのほとんどがホットウォレットと呼ばれる、インターネットに接続されている暗号通貨ウォレットを襲われています。
今回のEhterbaseもホットウォレットが攻撃を受けた様です。
Telegramに登録されたメッセージでは、Etherbaseは6つのホットウォレットが被害を上桁ものとして公開されており、その大半がETH(エーテル)であった事が分かります。
仮想通貨取引所が攻撃を受けた事例では、内部犯行などを除き、ほとんどがホットウォレットから資金が流出しています。だとすれば、インターネットに接続しないコールドウォレットを使えば良いと思うのですが、相場の変動で取引時間もシビアに影響する世界では、ホットウォレットを使わないとビジネス自体が成立しない様です。
例えば、現時点で交換したい仮想通貨が、コールドウォレットだと「取引は明日になります」となると、お客はすぐに取引をしてくれる別な仮想通貨取引所に逃げてしまう事は容易に推測できます。
従って、仮想通貨取引所は(多層防御の元で)ホットウォレットを一定比率以上使ってビジネスをしている訳ですが、これだけホットウォレットが狙われている現状を考えると、コールドウォレットでも取引スピードが上がるブレイクスルーが必要なのではないでしょうか。(恐らく技術的に厳しいのだとは思いますが)
それ以外で想像できるのは、セキュリティ対策内容は仮想通貨取引所の機密に当たるので伺い知る事はできないのですが、ホットウォレットに対する多層防御部分がどうやって(更に)強化できるのか、ハッカー視点で見直すと、何か改善の余地があるのかも知れないなと思います。
※理想的にはバグ報奨金プログラムを活用すると良いと思うのですが、金融資産が絡む事なので、その脆弱性情報が悪用される可能性を考えると難しい気もします。
例えば、既に対策している内容かとは思いますが、(高度にチューニングされた)リスクベース認証と自動防御(不正を検知したら取引を遮断する)の組み合わせといった人的判断を超えた、セキュリティ対策(AI防御と言うべきかも知れませんが)といったものも検討の価値があるのかな、と想像します。
余談です。ホットウォレット関係をGoogleで調べていて、このスーツが3千円台で売られている事に気づきました。危なくポチる所でした。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
