仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 34
仮想通貨ブームらしい話題 部門より
1月26日、仮想通貨取引所コインチェックから(盗難時点で)約580億円相当のNEMが不正に引き出された。仮想通過の不正引き出しとしては過去最大となる。
BUSINESS INSIDERの記事によれば、1月26日午前0時2分、10 XEM(XEMはNEMの単位)がNC4に不正に送金された(正確なアドレスは「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」で、最初の3桁を表記)。午前0時4分からの5分間に1億XEMが計5回NC4に送金された。その後午前8時26分までに更に5回送金され、不正引出しの総額は5億2630万10XEMとなった。また午前2時57分から午前3時59分の間にNC4から別アドレスへ計10回の資金の移動があった(午後11時42分にもNC4から1回資金移動があった)。コインチェックがNEMの異常な減額に気づいたのは午前11時25分で、その後(ビットコイン以外の)取引を停止するなどし、午後11時30分から記者会見を行った。残高が大きく減った場合のアラートはあるが「気付くまで8時間以上かかった」(日経新聞)と記者会見で述べているので、アラートが午前3時頃に出た=その頃に盗まれたと解釈されたのだろうか。
秘密鍵が盗まれた経緯は不明。さらに問題点として、コインチェックではNEMをホットウォレットに置いていたこと(技術的に困難があったとコインチェックでは説明している)、マルチシグ(鍵の保管も別でないと意味ないが)が導入されていなかった事があげられている(楠正憲氏による解説)。
興味深いことに、犯人のウォレットは既にNEMのMosaic機能によってマーキングされており、各取引所に通知が回っているので、現金化不能になったようだ。また資金移動の自動追跡プログラムも稼働したようだ。
コインチェックは28日、NEMの被害を受けた26万人全員に日本円で補償すると発表した(ブルームバーグの記事)。相場下落の関係で総額は約463億円の見込みのようだが、全額を自己資金で賄うとしている。
NEM財団 VPインタビュー翻訳 (スコア:3, 参考になる)
こちらの記事も参考になります。
[コインチェック流出]その技術的ミスをNEM財団VPが語る 公式インタビュー全文翻訳
https://www.businessinsider.jp/post-161098 [businessinsider.jp]
ミキシング後を追跡できるかが見所 (スコア:3, 参考になる)
NEMのマーキングについては、共有ウォレット (ミキシングサービス) でミキシングした後を正しく追跡できるかが見所でしょうね。
犯人がミキシングを行わないわけはないでしょうし。
ミキシングサービスの仕組みは分析されてきていますが、犯人が慎重に動けば追跡は難しいはず…。
http://www.checkpoint.co.jp/threat-cloud/2016/11/complex-web-bitcoin-m... [checkpoint.co.jp]
昔「仮想通貨は政府の関与がなくて自由なところが言いんだよ。」 (スコア:2, すばらしい洞察)
今「政府は保証しろ」
虫がいい
100億円浮いたよ!やったね! (スコア:1)
公式の発表 [coincheck.com]によると保証金の算出根拠は、
[売買停止時からプレスリリースまでの加重平均価格]らしいので、
問題発覚からプレスリリースまでの下落分が浮いたということか。
#支払えるならシャチョーの動揺した顔の訳が気になる
Re: (スコア:0)
今は上昇していますが
返金するタイミングまでに再び仮想通貨が下落して、レートが算出価格を下回ったら得なのか損なのか
日本円で返金は誤り (スコア:1)
コインチェック内の通貨JPYで返還ですよ。
出金できそうに無い状況です。
秘密鍵が盗まれた経緯は不明。 (スコア:1)
内部犯行か狂言であったとしても「不明」で終了?
#それはまっさきに疑われて調査済みか
Re: (スコア:0)
>興味深いことに、犯人のウォレットは既にNEMのMosaic機能によってマーキングされており、各取引所に通知が回っているので、現金化不能になったようだ。また資金移動の自動追跡プログラムも稼働したようだ。
内緒にしとけば犯人捕まえやすそうなのに、そうしないということは・・・
Re:秘密鍵が盗まれた経緯は不明。 (スコア:1)
被害を受けてないユーザを早よ安心させないと、仮想通貨として終わっちゃうからね
Re: (スコア:0)
手順としては不正送金しかないの各ニュースはしばらくは「流出」という単語を使っていて非常に違和感があった。
どちらかというと「クラックされた」だよね。
Re:秘密鍵が盗まれた経緯は不明。 (スコア:1)
>どちらかというと「クラックされた」だよね。
外部からクラックされた経路や足跡が残っていればわかりやすいけど。
そうでない場合、内部犯行あるいは狂言ではないという証明はできるのかな。
金融庁や警視庁に報告済みで、NEM財団やNEMを取り扱う国内外の取引所と連携して、売買停止の要請をしている
報告の中身は「勝手に送金されちゃいました」だけじゃないだろうし、第三者ってサーバーに入れたくないだろうけど、犯罪(?)が起きた時の調査ってどうするんだろう。
Bitcoin他仮想通貨で「無くなった/盗まれた/勝手に送金された」とか言う騒動が起きる度にこの疑問が湧いてしまう。
#憶測と想像と妄想しか書いてないな>じぶん
Re:秘密鍵が盗まれた経緯は不明。 (スコア:1)
> 報告の中身は「勝手に送金されちゃいました」だけじゃないだろうし、第三者ってサーバーに入れたくないだろうけど、犯罪(?)が起きた時の調査ってどうするんだろう。
GMO-PGがやらかしたときは、PCI SSCの認める資格をもった調査会社が主担当で調査してる。
詳しくは下の報告書。
https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf [gmo-pg.com]
まあ、まともな会社なら、技術と中立性に定評のある第三者に調査を依頼する。
日本円での返却 (スコア:1)
NEMで返却すべくNEMを集めれば、NEM相場が上がり返却コストが増し、更に犯人が売却に成功すれば犯人を利する事になる(盗人に追い銭)。
一部には不満がある様だが、それが可能であるなら妥当な対応だと思う。
杭打ち施行ミスによる傾斜に対する、三井不動産レジデンシャル社販売の横浜市都筑区のパークシティLaLa横浜回収建て替え処置の様に。
(この件確かに三井不動産グループ他のミスはあったが、身銭を切って回収建て替えを行う姿勢を示す事で、最低限の信用は維持されたとは思う。一方アップルやインテルは?)
無論裏側には、仮想通貨バブルがそれを可能にしている状況もあるのだろう。
だが、それがセキュリティーで失態を晒したコインチェックのせめてもの信用維持経費とはいえ、途方もない金額である事にも違いない。
Re:日本円での返却 (スコア:1)
まあ払える払えない以前に日本円にして継続的な問題からの分離は良いだろう。
でも被害者が懸念している問題は、その日本円も現状引き出す事の出来ない口座の残高としてでしかないってのでは。
払い出ししないのであればそりゃ幾らでも金額を付ける事は難しくない。
しかしそれで会社が耐え切れれば良いが、耐えきれないのであれば賠償を得るタイミングを逸する原因にもなりかねないよね。
損害補填金の原資は、仮想通貨だよね。 (スコア:1)
この会社の資本金額を見ても、納税額を見てもそれだけのハードカレンシーでの資本蓄積があると見えない。
取引の際仮想通貨で支払われた手数料を自ら仮想通貨間で運用した含み益がこの会社の追求する利益だったわけだ。バブリーエンジン駆動って訳だが、企業存続性的にはバランス取れていない。
金融庁への登録も、コールドウォレットもマルチシグも消極的な訳だ。
Re:損害補填金の原資は、仮想通貨だよね。 (スコア:1)
資本も技術もなく人身売買で利益を出すIT土方屋とどう違うんでしょうか……
Re: (スコア:0)
IT土方には既に無くなった「夢」を売って居ます。
17歳JK (スコア:0)
のホワイトハッカーがなんとかしてくれる!!
(ヒではこの件でエンジニアがみんなJKだと思われていますが、その通りです)
何のことかと思えば (スコア:1)
仮想通貨流出、17歳女子ハッカーが犯人特定?謎の人物出現にネット沸騰
https://headlines.yahoo.co.jp/hl?a=20180129-00000046-dal-ent [yahoo.co.jp]
>エンジニアがみんなJKだと思われていますが、その通りです
それはバラさないで下さい。
Re: (スコア:0)
Jikangai Kitsui.
Re: (スコア:0)
JK17をガチで信じてる人がちらほらいて、仮想通貨界隈は純粋な人が多いんだなと思いました。まる。
Re: (スコア:0)
誕生日を迎えるとJK18になるので、違う人がなんとかしたと思われる可能性
Re: (スコア:0)
17歳教信者の場合、永遠にJK18にはなりません。
Re: (スコア:0)
17歳(n進法)で、誕生日ごとに++nすればよろしい。
Re: (スコア:0)
JKさん じゅうななさい かもしれない。
強制決済 (スコア:0)
補償は強制決済と同じと思えばいいのかな?
含み益が出ていた人は強制決済されて利益確定。
億り人さんたちは所得税・地方税合わせて55%持っていかれちゃいますね。
Re: (スコア:0)
来年の3月までになんとかすればいいさ
技術的に進化しても (スコア:0)
正常時は良いのでしょうが、トラブル時にロールバックする手段が無い。(まぁありがち)
色んな経験を経て成熟する前の前の段階くらいでしょう。
GOXの事が既に忘れ去られてるんだよなぁ。
MT.GOX事件の真犯人かもしれない人物(マルクも関与していたとは思うけど、使った金額が少額すぎた)が昨年逮捕されたけど、今回も関係者が出てくるのかなぁ?
関係者じゃないと、そもそも抜け穴って気づきにくいだろうからなぁ。
リスクのある投資の「リスク」には、そういった問題も含めて考えなきゃダメなんだろうね。
Re: (スコア:0)
分散暗号通貨とロールバックはどうしても相容れないよ。それではクレジットカードなどの既存の仮想通貨と変わらない。
スマートコントラクトで代用するしかないんじゃないかな。
ペーパーウォレットって…お札…? (スコア:0)
ハードウェアウォレットっていうのが使えなかったんで、対策が遅れたんじゃないかって…仮想の時代になっても、結局は紙なの…?
Re: (スコア:0)
ウォレット=財布。
分かりやすく言えば、仮想通貨の取引パスワードをPCに保存してるとPCハッキングされたときに盗まれるから、パスワードはUSBメモリに保存しておきましょうというもの。
これで安全になるけど、大元のパスワードを盗まれてたらハードウエアウォレット使っててもやっぱり盗まれる。実際にそういう盗難事件も起きてる。
Re: (スコア:0)
権利書に近いかな。丸々コピーされるとアウト。
Re: (スコア:0)
ハードウエアかどうかではなく、オンラインかオフラインかの問題では。
現状でインターネットに常にオンラインってのは、何時も「攻撃上等!」ってやっているのと一緒なんだよ。
日本史上最高額の窃盗だと思うのだけど (スコア:0)
日本史上最高額の窃盗だと思うのだけど、仮想通貨だからか、そこを強調したニュースはないような気がした。
サーバーの場所がどこかわからないけど、もしサーバーがアメリカにあれば、犯人が捕まったら、100年以上の懲役になるんだろうか。