18年2月8日、約160億円相当のレイブロックス(RaiBlocks)(現ナノ)がイタリアの仮想通貨取引所ビットグレイル(BigGrail)から流出した。コインテレグラフは先日、事件の真相を解き明かすため、ビットグレイルの創設者で運営者のフランチェスカ・フィラノ氏に独占インタビューを行っている。

 今回編集部は、この大規模な盗難事件をさらに理解するためナノのチームに接触し、コミュニティ管理及び広報を担当しているナノ開発チームのトロイ・レッツァー氏に話を聞いた。

経緯をぼやかしている「タイムスタンプ」問題の原因は?

 前回の取材のなかでフィラノ氏は、事件が起こった経緯の手がかりとなる「タイムスタンプ」を記録するナノの「ブロックエクスプローラー」が当てにならないと述べていた。

 しかしトロイ・レッツァー氏は、フィラノ氏が言及した1月19日にナノブロックチェーンはノードの再同期を実施し、1月19日以前に行方不明だった全てのブロックや取引に、その時点で記録されたタイムスタンプを付与したと説明した。つまり、全ての取引やブロックは、その日付と共に正確に記録されたことになる。レッツァー氏は次のように語った。

 「1月19日にノードの再同期を実施し、その過程で、まだタイムスタンプが記録されていなかったブロックを選び、その時点でそのタイムスタンプを記録した。ギャップが存在している理由は、ウェブサイトの移行中に、元の管理者から現在の管理者へのサイトの移行に際して、スクリプト実行に時間の経過があったせいだ。我々は古いデータベースのコピーを受け取り、新たなサーバーで正確に実行できるようになるまでにしばらく時間がかかった。このため、1月19日に完全に同期されるまでは、多くのブロックにタイムスタンプが記録されなかった」。

「行方不明の取引」など無い

 フィラノ氏は2月15日、テレグラムのやり取りをツイッターで公表し、その中で、ナノネットワークのブロックエクスプローラーで1月19日以前の取引が行方不明になっていると主張していた。さらにフィラノ氏は、取引がなんらかの形で取り除かれた後に再挿入されたと主張した。しかしパブリックブロックチェーンでは、ブロックチェーン全体が侵害され攻撃されない限り、過去のブロックに保存されているデータを取り除くことは不可能だ。

 51パーセント攻撃(一つのグループがブロックチェーンのハッシュパワーの過半数をコントロールする力を手に入れる)のようなパブリックアタックを通してですら、履歴ブロックに保存されているデータを改変することは、現実的に不可能だ。ナノ開発者のミカ・ブッシュ氏は、フィラノ氏の主張に以下のように反論している。

 「ブロックチェーンと、(ナノ特有の仮想通貨の構造である)ブロック格子内のアカウントは、一方通行の構造になっている。それぞれのブロックが、それに先立つブロックの暗号署名を参照する。だから既存のブロックの前に新たなブロックを挿入することは不可能だ」。

 ナノはパブリックブロックチェーンであり、ブロックチェーン内のブロックは改変できないことから、ブロックチェーンから取引が行方不明になっているという主張は無効である可能性が高い。

ビットグレイルのお粗末なセキュリティ

 ナノのチームが声明で明らかにした通り、17年10月23日にビットグレイル仮想通貨取引所から大量のXRBが引き出された。9.82ドルという現在のXRB価格で換算すると、1000万ドル近くに相当する100万XRBが引き出されている。

 この取引の性格はまだ確認されていないものの、全部で1500万XRBとなった盗難は、10月23日にこの100万XRBから始まった可能性もある。

 「ビットグレイルのデータベースのタイムスタンプデータによると、100万XRBの引き出しというこの取引は、17年10月23日午前1時22分(グリニッジ標準時)に発生した。この取引の前後にかなりの資金がアカウント「bbjn」へ引き出されたことが、エクスプローラーのデータから分かる。

 ナノのパブリックブロックチェーンエクスプローラーであるNanodeによると、ビットグレイルはXRBの全資金を、安全ではないホットウォレットに保管し続けていた。

 ホットウォレットはオンラインで管理されていることから、攻撃や侵入に対して脆弱になる危険をはらんでいる。たとえば日本最大級の仮想通貨取引所であるコインチェックは、ホットウォレットに資金を保管していたことによってハッキング攻撃を受け、5億3000万ドルもの被害を被った。

 17年12月16日までは、ビットグレイルRep1ウォレットがビットグレイル取引所が資金を保管する唯一のホットウォレットとして使われており、極めて安全性が低く、危険だった。ホットウォレットに侵入されてしまえば、その中のすべての資金が失われる可能性があった。マルチシグテクノロジーに基づくセキュリティシステムが存在していない場合はなおさらだ。

 Nanodeから分かる通り、ビットグレイルRep1ウォレットは17年12月16日にコールドウォレットに変更され、ビットグレイルRep2がホットウォレットに変わった。

 この盗難に関するすべての情報がコミュニティで透明性を持って共有されない限り、お粗末なセキュリティ対策がビットグレイルの取引プラットフォームへの侵入を招いたと断言することはできない。しかしビットグレイルは、コインチェックや韓国のBithumbなどの大手仮想通貨取引所とは異なり、投資家に返金することができておらず、コインテレグラフのインタビューでフィラノ氏が説明したように、同取引所はナノ投資家全員に返金することは「不可能」言い切っている。

 巨額のXRB盗難の原因が、もしナノブロックチェーンのプロトコルの問題によるものではないことが分かれば、ビットグレイルが最終的には顧客資金の盗難の責任を問われることになるかもしれない。