• 2018/11/23
• コイン東京編集部

イーサリアムの送金手数料を不当に課すバグが報告される、攻撃者はバグを悪用して取引所から利益を得ていた

取引所のホットウォレットから奪う

暗号通貨のリサーチグループに発見されたこの欠陥は、イーサリアムに関連するGas（ガス）トークンに関係します。どの取引所が影響を受けたかは不明ですが、影響を受けた可能性のあるプラットフォームの大部分にリサーチャーは接触し、対処しました。

バグは主に、ランダムアドレスへの出金リクエストにガス・リミットを設けていない取引所に関係します。そうしたトランザクションが開始されると、攻撃者は取引所に大量のガスを支払わせ、あるいはGasトークン（1*）を作成させました。

取引所を運営している人物が、ガスリミットやKYC（顧客確認）プロトコルを執行しなかった場合、取引所は自分のホットウォレットから取引手数料を支払うことになります。この脆弱性により、悪質なエージェントは取引所のアカウントからの出金に、余分な手数料を課すことができていました。

リサーチャーによると、この脆弱性はイーサリアム・トランザクションを開始する取引所（及びウォレットアドレス）にのみ影響し、これを処理する取引所には影響しません。つまり、ユーザーが開始したトランザクションを処理する、スマートコントラクトを使用する分散型取引所（DEX）は影響を受けない可能性があります。

このバグは、10月末に最初に発見されました。リサーチャーはその後、Gasトークンの開発者と、影響を受けた可能性のある複数の取引所に連絡しました。この脆弱性から保護するために、特にランダムアドレスにトランザクションを行う場合に、すべてのトランザクションにリーズナブルなガス・リミットを実装することを推奨しました。

暗号通貨の脆弱性の事例

暗号通貨の脆弱性が所有者の資産をリスクに晒したのは、これが初めてではありません。今年初め、リサーチャーはコインベース取引所で脆弱性を発見しました。実質的に、コインベースのユーザーは、自分の残高に無制限にイーサリアムを追加することができる状態でした。この脆弱性は、昨年12月下旬にコインベースに報告され、同社は問題を修正して、1月にオランダのFintech Firm VI社に10,000ドルの報奨金を支払いました。

8月には、モネロ（XMR）のウォレットソリューションの欠陥のために、取引所からXMRを盗むことができていた事が判明しました。オープンソースで、誰でもアクセス可能なモネロのウォレットのコード行を書き換えて、攻撃者はウォレットが示す取引金額を操作しました。追加したコードは、示されたXMRの量を掛け算しました。これにより、取引所のサポートスタッフを欺き、偽装取引をより簡単に承認させました。ハッカーは取引所にトランザクションの即時処理を効果的に要求した形です。現在、この欠陥は修正されています。


（1*）Gasトークンとガス
Gasトークンは、イーサリアム・ベースのコントラクトです。特別な払い戻しの仕組みを通して、個人によるイーサリアムネットワークのトークン化に利用できます。ユーザーは、価格が低いときにGasトークンを貯蔵し、高い時に払い戻します。

ネットワーク上の全取引にはガスが必要であり、取引毎にマイナーに支払う手数料は、取引で消費されるガスに比例します。Gasトークンは、取引で同じ作業量を行い、ガスの消費量を抑えます。マイニング手数料を節約し、高い料金を支払うことなく、より高いガス価格を入札できます。


関連記事

ソニーがPS4で、イーサリアムベースのブロックチェーンゲーム「プレイグハンターズ (Plague Hunters)」を承認

参考：PDF

関連キーワード

おすすめのバックナンバー