ブロックチェーンコードの脆弱性を狙うハッカーたちは、オンラインの「富」を狙っている

記者 張嘉興

たった1行のコードで64億元が消えた。この驚くべきハッキング作戦は今年4月に発生しました。ハッカーがコードの抜け穴を見つけたため、関連するブロックチェーン製品の市場価値全体が一瞬にして流出し、ゼロに近づきました。

「伝統的な通貨が国家の信用によって価値があるとすれば、暗号化されたデジタル通貨の存在はブロックチェーン技術の信用に依存している。」 9月6日、中翔ビットなどが共催したISC2018ブロックチェーンとネットワークセキュリティフォーラムで、山東省警察学院捜査部サイバー犯罪捜査教育研究課副課長の張玄氏は、ブロックチェーン技術コードの脆弱性の発見とそれに伴うセキュリティインシデントにより、ブロックチェーン技術に対する人々の信頼が徐々に損なわれていると述べた。

ブロックチェーン技術は、分散ストレージ、暗号化アルゴリズムなどの技術の応用により、改ざん防止や追跡可能性などの特性を備えており、「絶対確実」であると考えられてきました。ただし、この機能は主にブロックに保存された情報を対象としています。記事冒頭のケースを例にとると、ブロックチェーン技術は、64億ドルがどこに送金されたかを追跡できること、ハッカーの操作がシステムによって変更不可能な形で記録されることを保証するが、ハッカーが基礎となるコードを改ざんすることを「拒否」して仮想デジタル通貨を保護することはできない。

ブロックチェーン技術自体には、悪用される可能性のある脆弱性があります。 「ブロックチェーン技術の利用は、犯罪者が違法な利益を得るための新たな手段となっている。」張玄氏はこう語り、ブロックチェーン技術が経済犯罪に革命を起こしたとさえ言う人もいる。ブロックチェーン技術の長期的な発展を維持するために、新たな手段によってもたらされる新たな課題にどう対応すべきでしょうか?

仮想通貨が新たな盗難の標的に

少し前に、「オーシャンズ8」という強盗映画が公開されました。これは、1億5000万ドル相当のダイヤモンドのネックレスを盗む美貌の泥棒グループの物語です。

暗号通貨の世界で発生した盗難事件と比較すると、このネックレスの価値はそれほど驚くほどのものではありません。例えば、今年3月30日、我が国の警察は、国内の有名なインターネット企業に勤めるハッカー3人が被害者の張氏のコンピューターに侵入し、ビットコインやイーサリアムなど6億元相当の仮想通貨を盗んだ仮想通貨窃盗事件を摘発した。

過去には、泥棒は金、銀、宝石、紙幣の束を狙っていました。今では、コンピューターの前に座って指を動かすだけで、仮想通貨を盗んで金持ちになることができます。暗号化されたデジタル通貨はハイテク犯罪の新たな標的となっている。世界中の国々がこの問題に悩まされています。データによると、5億3000万ドル相当のトークンが盗まれた後、日本の仮想通貨取引所16社はシステムの抜け穴を内部調査してチェックするための自主規制グループを設立する予定だ。

360グループの情報セキュリティ部門の王衛波氏は、パブリックチェーンと取引所に対して、非個人用コンピュータを標的とした公開攻撃が57件発生し、10億ドルの損失が発生したと述べた。しかし彼は、これは「氷山の一角」に過ぎないと考えている。大量の攻撃は取引所の評判に悪影響を及ぼし、損失は取引所自体が吸収するため、公表されません。

仮想通貨は盗難だけでなく、犯罪者の道具にもなっています。 「ビットコインはマネーロンダリングのツールとなり、『プロのマネーロンダリングルーム』を生み出した」とチャン・シュアン氏は語った。彼女は実際の事例を挙げた。被害者はQQで容疑者と出会ったという。彼はイラクで戦った兵士であると主張し、80万ドルの保証金が必要な小包の受け取りを被害者に手伝ってほしいと頼んだ。被害者はビットコイン取引を専門とするワン氏に資金を送金した。王容疑者は容疑者にビットコインを支払ったため、容疑者にとって詐欺の証拠は残らなかった。しかし、ビットコイン取引に携わっていた王氏には多額の資金が流入しており、捜査は困難を極めている。

「ビットコイン（現在、闇市場で認められている暗号化デジタル通貨のほとんどはビットコイン）が関与しているため、資金チェーンを追跡して事件を解決する警察の手法は効果がなくなる可能性がある。」張玄氏は、自身の仕事において、事件の捜査は困難であり、犯人を追跡する難しさが著しく増したと感じていると述べた。

さらに、犯罪者はもはや個人やギャングではなく、通常通り営業している合法的な企業です。張玄氏は、技術運用・保守会社がトロイの木馬ウイルスを開発し、運用・保守を担当する顧客のマシンにそれをインストールしたと紹介した。マシンのメモリがあまり使用されていないときに、マイニングプログラムが開始され、発見されるまでに5,000以上のデジタル通貨がマイニングされていました。統計によれば、同社は全国で300万台以上の機械を違法に管理していた。 「この違法行為の法的位置づけは依然として非常に曖昧だ。」張玄氏は、新たな犯罪情勢は法律や規制の改善を促し、法執行機関の職員に知識の蓄えを常に更新するよう呼び掛けていると述べた。

1日3回自分を振り返り、自分の欠点を見つけて補う

「ハッカーがどのように攻撃するかは分からないが、細部に至るまでセキュリティを確保する必要がある。」王維波氏は、自分自身の脆弱性をチェックすることでセキュリティリスクを最小限に抑え、問題の発生を事前に防ぐこともできると述べた。

攻防戦のように、ブロックチェーン技術の「生命線」を掴んでしまえば、ハッカーによる外部からの攻撃は止められなくなる。 「城壁を強化する」ことと「漏れを厳しくチェックして塞ぐ」ことは、防御側が常に変化する状況に同じアプローチで対応するための効果的な方法です。

王維波氏によると、ハッカーによるブロックチェーン技術への攻撃は、アプリケーション層、契約層、インセンティブ層、データ層を含む6つの異なるレベルで発生する可能性がある。レベルによって攻撃方法は異なり、結果も異なります。

攻撃のレベルが低いほど、1 回の動きが波及効果をもたらす可能性が高くなります。たとえば、データ層への攻撃は、1 つのノードだけではなくブロックチェーン全体に変更をもたらします。今年5月、あるブロックチェーンの生成時間を攻撃者が改ざんし、マイニングの難易度を下げてメインチェーン全体を乗っ取り、大量のトークンを入手する事件が起こりました。

そこで、360 セキュリティ チームはハッカー攻撃の 6 つの側面について調査を行い、抜け穴を特定し、それぞれに対して「規定の対策」を講じました。 360セキュリティチームは、パブリックチェーンと取引所でセキュリティテストを実施した結果、ユーザーアカウントのセキュリティに影響を及ぼす可能性のある29件の高リスク脆弱性を含む42件の脆弱性を発見しました。

チームは脆弱性のトラブルシューティングに加えて、いくつかのハッカー攻撃に関する詳細なテストも実施し、「パブリック チェーン侵入テスト ホワイト ペーパー」を作成しました。王維波氏は、ホワイトペーパーが間もなく公開され、いくつかのセキュリティインシデントを分析し、ブロックチェーン攻撃を入り口として、ハッカーの攻撃手法を深く分析し、さまざまな攻撃に対するセキュリティ保護を提供する方法を説明すると述べた。

王維波氏は、ブロックチェーン業界はまだ発展の初期段階にあり、セキュリティ上の問題がまだ多く残っていると考えている。ブロックチェーン技術の開発にはセキュリティが必要です。ブロックチェーン セキュリティ エコシステムを構築し、デジタル通貨ウォレットやスマート コントラクトなどのさまざまな製品に重点を置く必要があります。同時に、マイニングプールや取引所など、デジタル通貨が生成されるノードに対して動的な防止策を実装することも必要です。

ブロックチェーンプロジェクトを盲目的に立ち上げるのは賢明ではない

「ブロックチェーン技術自体をより強固で信頼できるものにすることに加え、ブロックチェーンのオンチェーンデータを実際のデータと接続するという問題にも直面しています。」中国情報通信研究院クラウドコンピューティング・ビッグデータ研究所所長のウェイ・カイ氏は、ブロックチェーンの利用においては業界ごとに問題点があると語った。たとえば、トレーサビリティ業界では、チェーン上のデータが追跡対象の製品に対応し、「スイッチ」されないことをどのように保証するのでしょうか。

チェーンに書き込まれた情報が真実であり、現実を正確に反映できるかどうか。これはブロックチェーン技術では解決できないことであり、制度システムなどチェーン外部の手段によって保証される必要があります。ウェイ・カイ氏は、現在の支援体制には欠陥があると考えている。

「ブロックチェーンアプリケーションを立ち上げるには、まず4つの質問をする必要があります」とWei Kai氏は語った。 「タスクはデータを記録する必要がありますか？記録されたデータには複数の当事者の参加が必要ですか？関与する複数の当事者はお互いを信頼できますか？信頼できる人が見つからない場合は、元のキャリアを放棄してブロックチェーン技術を使用することを検討できます。最後の質問は、集中型システムと比較して効率が低いことを許容できるかどうかです。」

魏凱氏は、ブロックチェーンは閉鎖的なシステムであるため、使用コストも非常に高く、効率も集中型システムほど高くないと説明した。現時点では、ブロックチェーン技術を使用した場合の明らかな効率上の利点はありません。

ウェイ・カイ氏は、ブロックチェーンに対する業界、さらには政府の現在の姿勢を説明するのに「不安障害」という言葉を使った。 「現在、20以上の省や市がブロックチェーン関連の奨励政策を発表し、多くの場所にブロックチェーンビルが建設されています。これらのビルに入居した企業は、ブロックチェーンの使用を必要とするシナリオを発見したでしょうか？ この質問は、誰もが深く考える価値があります。」魏凱氏は、ブロックチェーン技術自体の改善に加え、政策、規制、検証などのシステムをさらに推進する必要があると考えている。このため、中国情報通信研究院は4月9日、158社の企業と共同で「信頼できるブロックチェーン推進計画」を立ち上げ、技術標準、業界応用、政策、規制を推進し、ブロックチェーンの発展に好ましい環境を徐々に改善していくことを目指している。

この記事は科学技術日報からのものです。