米仮想通貨取引所大手コインベースは21日、利用者が無制限にイーサリアム(ETH)を盗み取れるスマートコントラクトの誤作動を発見したドイツの企業に、1万ドル(約100万円)の報奨金を支払ったことを明らかにした。
この問題は、VIカンパニーが昨年12月27日にコインベースに報告したもので、ウォレットの欠陥により、スマートコントラクトの悪用に発展しかねないものであった。
利用者は技術的には、無制限にイーサリアムを自分の口座に入金することが可能であった。「イーサリアムをいくつかのウォレットに分配するスマートコントラクトを使って、自分の口座の預金額を操作することができる」とVIカンパニーは報告書のなかで説明しており、次のように続けた。
「もしスマートコントラクト内の取引処理のうちひとつが失敗すれば、その前の処理はすべて元に戻される。しかしコインベースではそれが元に戻らない。つまり、誰かが好きなだけ自分の口座にイーサリアムを入金できるということだ」。
コインベースはここ1年近く、継続的に技術的な困難に直面してきた。昨年中ごろに新たな利用者が大量に流入して以来、米国最大手の取引所かつウォレット提供会社であるコインベースの処理能力は手一杯になり、結果として遅延、資金紛失、システム機能停止、その他の問題が生じていた。
同社は技術能力の強化を約束したものの、理論的に何十億ドルもの仮想通貨の損失になり得た今回のバグに対するその対応が物語っている。コインベースは最初の報告から1カ月を経た1月26日にようやく問題を修復したのだ。
「この問題を分析した結果、コインベースの損失はすべて偶発的なものばかりで、意図的な搾取はなかったことが明らかになった」とコメントの一部に書かれている。
これまでにもこの手の綻びが、仮想通貨を採用する大企業に影響を与えてきた。1月にコインテレグラフが伝えたオーバーストック・ドットコムのウェブサイト上の誤りでは、同社がユーザーの支払いや返金サービスをビットコイン(BTC)でもビットコインキャッシュ(BCH)でも可能にしてしまったために、客によっては大きな割引を与えることとなった。オーバーストック社はコインベースのマーチャント・インテグレーションAPIを採用している。