バイナンスのハッキング手法は大量の出金リクエスト|ビットコインのreorg(再編)についてもあらためて言及

今月5月7日に7000BTC(約44億円)のハッキング被害にあった仮想通貨取引所バイナンスのCZ氏が、ハッキング手法の詳細や発覚後の対応についてあらためて公式ブログにて発表した。

ハッキング手法について

ハッカーが行った手法について改めて詳細発表が行われた。

ハッカーグループが多数のユーザーアカウントを制御して、大量の出金リクエストを依頼していました。このような大量の出金リクエストがあった場合、出金前に行う監査システムをすり抜けることが出来ました。

しかし、出金が行われた直後にリスク監視システムが作動し、その後のすべての出金を中断することが出来ました。

また、事件発生直後にもツイートや公式サイトで情報発表を行っていたが、まだその時点ではハッキング手法について100%確信が取れていなかったと伝えており、ユーザーの誤操作なのか、システムのバグなのか、完全なハッキングなのかを疑っていたと発表している。

1週間での入出金再開について

ハッキング発生を伝える公式発表では、「約1週間」とする入出金再開までの期日がすでに含まれていた。これについても以下のように述べている。

技術開発では、変更にかかる時間を正確に見積もることはできません。しかし、私たちのユーザーとコミュニティは見積もり日数を必要としていました。発表後は作業時間に必要な日数ではなく、私たちのチームが完了するための目標になりました。

AMA(質問あったら聞いて)で触れたreorg(再編)について

仮想通貨業界にとってこの発言は衝撃的だった。要するにビットコインネットワークに意図的に51%攻撃を行うという意味だからだ。これについても経緯を詳細に語っている。

AMAの開催する前、私は一晩中起きていて、本当にその疲れを感じていました。そこで私はAMAの直前に15分の仮眠をしました。目を覚ますと、私のチームは、Bitcoin Core開発者から興味深い提案があると私に言いました。それは「reorg(再編成)」と呼ばれる手法を含んでいました。51%攻撃のシナリオでロールバックが技術的に可能であることはわかっていますが、マイナーにインセンティブを与えながら1つのトランザクションを変更して他のすべてのトランザクションをそのままにするという発想は私の中にはありませんでした。

議論はすでにTwitterでかなり盛り上がっていたので、AMAでそのことについて発言してしまいました。ただ私が知っていることはほとんどありませんでした。しかもそれは触れてはいけない話題だった。これは後から学んだ教訓です。

(※ビットコインのreorg(再編成)についてはこのAMAの後にツイッターで否定する発表を行った経緯がある)

この他にもCZ氏はハッキング発覚後の自身の精神状態を告白し、少し時間が経ち冷静になってやっと自己資金で被害額を補てん出来ることが分かったことなどを綴っている。また、戦闘モードとも言えるチームの強力なバックアップにて、サービス復旧にいたったことなどが発表された。

バイナンスはハッキング直後の発表通り、一週間後の5月15日に総額1億円を超える感謝キャンペーンの開催も添えられサービス再開されている。

参考:BinanceBlog / Security Incident Recap

Close Menu