暗号資産史上最大規模の不正アクセスの犯人の目的は「遊び」だった。10日、匿名のハッカーあるいはハッカーグループは、DeFiプロジェクトのPoly Networkから約6億ドル(約660億円)の暗号資産を盗み出した。これは警告だったと、彼らは動機と計画についての質問に対して答えている。
彼らはバグを見つけ、利用した。開発者は「無料でお金をもらえる」ボタンを設置したつもりはなかった。だが、悪用された。
「お金にはあまり興味がない」「だが、攻撃から何かを学ぶべきではないか?」とハッカーは11日、イーサリアムブロックチェーンの取引データに書き込んだ。
彼らが純粋に「ホワイトハッカー」なのか、それともハッキングした暗号資産の現金化は不可能だと気づいたブラックハッカーなのかは分からない。
ちなみに、コンピューターの不正利用に詳しい弁護士のトア・エクランド(Tor Ekeland)氏は「ハッキングは、ハッキングで得た物よりも、ハッキングのスリルを味わうことが目的である場合が多い」と述べている。
安全性のための重要要素
DeFi(分散型金融)ではハッキングは珍しいものではない。多くの場合、短時間で作られたプログラムやプロトコルレベルでの欠陥が原因だが、ハッキングはコンピューターネットワークの安全性を高めるための重要な要素でもある。ブロックチェーンの世界では特にその傾向が顕著だ。
実際、ハッキングはハッキングされないコードにつながると主張する人もいる。もちろん議論の余地はある。今回のようにハッカーが盗んだお金を返してくれるとは限らないし、ハッキングで傷つく人がいることは間違いない。
「ブロックチェーンの世界では、誰かがスマートコントラクトを展開し、それに脆弱性があると、数億ドルが一夜にして消え、救済措置はない」と元グーグルの伝説的なコンピューターサイエンティスト、マーク・ミラー(Mark Miller)氏は2018年に語った。
言い換えると、ブロックチェーンベースのシステムは進化のプレッシャーにさらされている。脆弱なプロジェクトは「早期に潰される」ため、システム全体は安全なコードで占められるようになる。
狼ハンティング
ブロックチェーンテクノロジーが登場してから、まだ10年あまりしか経っていない。DeFiはもっと短い。今はまだ導入の初期段階であり、多くのミスが発生する可能性がある。
もちろんハッキングだけがプロジェクトやプロトコルを進化させるわけではない。我々はシンプルなものを、じっくりと構築することができる。例えばビットコインは12年の歴史において、2回しかダウンしていない。また外部監査もあれば、議会や規制当局が果たすべき役割もある。
だが、プログラムの欠陥を見つけたり、事件の後にハッカーを見つけ出すことは「狼ハンティング」のようなものだとコンピューターセキュリティの専門家で、プライバシーを重視した暗号資産ジーキャッシュ(Zcash)の発案者、Zooko Wilcox-O’Hearn氏は述べた。
2015年、彼の監査会社Least Authorityは、開発者グループからの依頼を受けて、ローンチ前のイーサリアムブロックチェーンのセキュリティ監査を行った。発見された多くの脆弱性は修正されたが、スマートコントラクトの「再帰性」に関する脆弱性は修正されなかった。
そのわずか数年後、この脆弱性がいわゆる「The DAO事件」に悪用され、5500万ドル(約60億円)相当のイーサリアムが流出、ネットワークがイーサリアムとイーサリアムクラシック(ETC)にハードフォーク(分岐)する事態を招いた。Least Authorityは監査報告書を提出する際に、悪用される可能性がある例として、The DAOのようなクラウドファンディングのスマートコントラクトをあげていた。
羊を守る方法
スマートコントラクトに多くの資金が集まるにつれ、「狼ハンティング」、つまりハッカーを探し出すことは一段と難しくなっている。ハッキングによってコミュニティは、繰り返すべきこと/繰り返すべきでないことを学ぶ。やがてこれが、より「信頼できる」プログラムにつながる。これは「羊を守る」ための一つの方法だ。
「我々人間が重要なことをコンピューターに任せようとしているなら(実際、我々はそうしている!)、プログラムをハッキングされないものにすることが不可欠。そして、私の仲間のセキュリティ専門家の間には皮肉と絶望が広がっているが、実際に達成可能だ!」とWilcox氏は述べている。
「DAOやPolyなど、脆弱性があったために悪用されたプログラムの代わりに、同じ機能を持ち、脆弱性を持たない別のプログラムを使うことができる。進歩は可能!」
|翻訳:coindesk JAPAN
|編集:増田隆幸
|画像:Azamat E/Unsplash, modified by CoinDesk
|原文:The Node: DeFi Needs Hackers to Become Unhackable
