日経B 6/11号は「ブロックチェインの死角が露呈」という記事を掲載しHackingに強いはずのBlockchainが遂に5月中旬にHackingされたと報道した。仮想通貨千種類の中で、日本で生まれた仮想通貨Monacoinが攻撃対象になり、ロシアの取引所で、今迄の事故よりも遥かに小さいが1千万円規模の被害が発生した。今迄のHackingはBlockchain構造そのものではなく、それを基盤として構築したアプリ側がHackingされたものだったが、いよいよBlockchain構造自体がHackingされたという記事だ。ただ私は違うと思った。従来よりはBlockchain本体に近いが、やはりBlockchainの使い方の問題だと思う。本記事も「Blockchainの連鎖構造がまだ不充分な段階で仮想通貨の入出金に応じた取引所が悪い」という意見も併載した。
最初の仮想通貨Bitcoinが2009年に誕生してから9年経過した。その間になぜ千種類もの仮想通貨が出来てしまったのか? それは儲かるからだ。@まずBitcoinのソフトは公開されているから、それをベースに改良していけば白紙スタートより容易だ。Aだからソフトの天才が居れば起業資金は比較的少なくて済む。Bこれから構築する仮想通貨を支払う約束で起業資金を集めている。C一旦新仮想通貨が立ち上がれば、鼠講と同様に最初の購入者・所有者は儲かる可能性が高いから、投機資金が集まり易い。
Monacoinの詳細を私は知らないが、Bitcoinに少なくとも定性的には似ている。ただ規模が全然違う。規模が小さいから攻撃し易かったのだ。
Bitcoinでは、10分間に1個、2週間に2016個(=6x24x14)のBlockを作って連鎖状(積木状)に積むことを目標にしている。最新の取引記録をまとめた新Blockは仮Blockとして積木の最上部に複数が仮接続され、一連の鎖の先端が分岐した形になる。仮Blockに新しい仮Blockが仮接続されて部分鎖を構成することもある。採掘者(Miners)が仮Blockを見付け次第これを検証し、正当であれば265 bitsのチェックビット=Hashを付ける。@このBlockのデータと、A1つ前のBlockのHashと、BNonceと呼ばれる任意の32 bitsを併せて、それらからHashを計算する。但しHashの2進数が、与えられている目標値=Targetより小さい値でないといけない。
採掘者は競ってNonceを色々に変えて目標値より小さなHashになるようにひたすら競う。最初に目標値より小さなHashになるNonceを発見した採掘者は、そのBlockをBlockchainに接続し、その結果を全採掘者に報せると、1千万円前後の報奨金がBitcoinで貰える。技術が進んで採掘者のServerが速くなり、あるいはServerの数が増えると、2週間で2016個よりも多くのBlockを接続できる。それに逆比例して2週間に1回目標値を下げる。それだけHashの発見が難しくなり、2週間に2016個の近辺に維持される。だからBitcoin送金には10分かかる。遅さは安全性なのだ。
今回の犯人は、1つの仮BlockのHashを見付けても公表せず、従って報奨金も受けず、第2第3の仮BlockのHashを見付けて、自分のServer内で長い部分鎖を作ってしまった。次に(a)1千万円程度のMonacoinを送金して別の仮Blockを作り、(b)直ぐ他の仮想通貨に転換して引き出してから、(c)上記の長い部分鎖を公開した。仮Blockの鎖は、一番長い鎖が正当と見なされ、短い鎖は取り消されるので、(c)が生きて(a)は取り消される。
問題は、(a)を取引所が認識して(b)を実行したことだ。その後で(a)の払い込みが取り消されたため、犯人は(b)で1千万円相当を丸儲けしてしまった。犯人のServerが遅いと、あるいは犯人以外のServerが速くて沢山あると、(c)のために充分長い部分鎖を用意する速度が得られないから、この詐取はできない。Monacoinがまだ小規模で、共犯者を募って高速Server群を持ち込めば速度で勝てると見ての犯行だった。大規模なBitcoinではこうは行かない。なお犯人のIDは見え見えだが、個人は分からない。
つまりBlockchainに正式に組み込まれる前の非公式情報で(b)の支払いをしてしまった取引所に問題があり、Blockchainそのものの問題ではないと、私には思われる。世の中の論評の多くはこの点で間違っている。
犯人は本当に金を詐取したかったのではなく、詐取した「名誉」が欲しかった愉快犯・技術誇示犯だったのではないかと、私は思う。 以上
P.S. 仮想通貨の使用者はIDを持つが、IDから個人が特定できない匿名性で普及して来た。税務当局にとっては真に怪しからん話で、国内外で個人の特定を仮想通貨取引所に義務付ける法制が進んでいる。これが成立し施行されると匿名性は無くなる。Hackingもやり難くなるに違いない。