仮想通貨EOS、独自ブラックリストの更新ミスで209万EOSが流出

仮想通貨EOSにおいて、ハッキング被害を受けたアカウントから209万EOS(約8億5300万円相当)が流出した。ブロックの生成・承認を行うブロックプロデューサー(BP)が、ブラックリストのアップデートに失敗したことが原因とされている。同じくBPの1人であるEOS42が、2月23日テレグラムに投稿し明らかになった。

EOSブロックチェーンには、ハッキングなどにより侵害されたアカウントをブラックリストに登録することをBPに要求する機能がある。ただし、このブラックリストを適切に機能させるには、トップ21のBPすべてが登録要求に従う必要がある。2月22日、新しいBP「games.eos」はEOSメインネットアカウントのブラックリストを更新しなかった。

その後、大手仮想通貨取引所フォビのセキュリティチームが、EOSブロックチェーン上の紛争などを仲裁するEOS・コア・アービトレーション・フォーラム(ECAF)のブラックリストデータを使用して、フォビの口座に流出した資産を検出した。2月23日のつぶやきによると、フォビはその口座と関連資産を凍結した。

この後EOS42は、EOSメインネット上の単一のBPに拒否権を与えるのではなく、ブラックリストに登録されたアカウントのキーを無効にすることを提案した。EOS42によると、キーの無効化は「壊れたブラックリスト」よりも効果的で、ブラックリストにアカウントを保存しつつ、資産を正当な所有者に戻せるという。

EOSのBPの数は21に制限されており、BP候補者は一定の投票プロセスを経てお互いを置き換えることができる。EOS42によると、ハッキングを受けた複数の被害者アカウントが、ECAF命令を受けてブラックリストに登録されたとしている。

現在EOSは、時価総額4位(コイン・マーケット・キャップ)の仮想通貨で、40億ドル(約4433億円)のトークンを売却した後2018年6月にメインネットを立ち上げた。分散型アプリ(dApps)を動作させる環境として、イーサリアム(ETH)と競合することが期待されている。