オリジナル:Coincheck 500M Hack Interview with Jeff McDonald, NEM VP
これまでのアクション
- まだ全てが解明されたわけではないが、コインチェックとは連絡を取っている
- NEM財団としてはコインチェックをサポートするために全力を尽くしている
- 盗まれたXEMを保有しているアカウントを追跡している
- さらに世界中の取引所と連絡を取り、盗まれたXEMの取引をしないよう呼びかけている
- NEMの良いところは強力なAPIがあること。APIをデポジットに加えるだけで取引所は盗まれたXEMがその取引所にデポジットされているかどうかわかる
盗まれたファンドは戻ってくる?
- あまり憶測で話をしたくはないがコインチェックに十分な預金が銀行にあればユーザーにファンドを戻すことはできるだろう(実際に持ってるかはわからないが)
- コインチェックは初期に3億XEMを自身で購入している。盗まれたXEMがコインチェックが保有しているものなのか、それともユーザーが預けているものなのかわからない。
- NEMには24時間アクセスできるホットラインがあり、コインチェックはこのホットラインを通じてNEMにコンタクトしてきた。その後すぐにビデオ会議を実施した。そしてタグ付けしてファンドを追跡を開始した。
NEM財団が強制的にファンドを取り戻すことはできる?
- ファンドがコインチェックから盗まれた時、全てのファンドはオンラインのホットウォレットに入っていた。おそらくAPIもプライベートキーも露出した状態だったでしょう。コインチェックがマルチシグを使ってればこのような事態にはならなかったと思う。
- ブロックチェーンの履歴を書き換えるにはハードフォークしかない。それはNEM財団としては実行するつもりはない。NEMのプロトコルには全く何も問題はない。
- 盗んだハッカーがコインチェックにファンドを返還するしか方法はない。
やるべきことと、やらないべきこと
- ユーザーも取引所もベストプラクティスに従うべき。取引所はこれまで何回もハックされている。取引所がセキュリティーを強固にしてもハッカーはそれを破ろうとするイタチごっこではある。
- 次期の「カタパルト」実装で取引所がハッキングされプライベートキーが露出してもファンドが盗まれないようになる。
- NEMでは取引所のハッキングが問題であることを認識していてそれを解決する手段をカタパルト実装で解決するつもり。
盗まれたXEMによる長期的なインパクトは?
- タグがつけられた、追跡されている。それでも、ハッカーはXEMの価格を操作して下げることができる?現時点ではわからない。ハッカーは500億円のXEMを市場で売ることができないのは確か。大手の取引所はすでに対応している。コミュニティーやパートナーも迅速に対応している。
- コインチェックがどうなるのかはわからない。これまでの事例ではハッキングされて取引所が閉鎖する事例もあるし、ハッキングされても回復する事例もある。
中央集権的なシステムで「神」のように振る舞いユーザーのアカウントを追跡したり、凍結したりできるってちょっと怖くない?
- そんなことはない。ブロックチェーンなので情報は全てオープン。
- NEMの良いところはAPIによってインテグレーションが簡単でそれによってファンドの動きがリアルタイムでわかり、それによりパートナーとコミュニケーションができること。コインチェックを助けるためにできることをするが、それに他の取引所が参加するかどうかは彼ら次第。
- そういう意味において誰もブロックチェーンに対してのコントロールを持っていない。NEM財団ができるのはツールを提供して透明性を高めること。
- このAPIによるリアルタイム性が他のブロックチェーンベースの仮想通貨とNEMの違い。他の仮想通貨ではトランザクションハッシュを一つづつ見ていかなければいけない。
- そういう意味でもNEM財団はハードフォークを実行するつもりはない。その代わりにエコシステムにツールを提供して犯罪者の助けにならないようにする。
セキュリティーについてもう少し詳しく教えてください
- 通常、取引所は複数レイヤーのセキュリティー実装をしている。
- その一つはホットウォレットとコールドウォレットの使い分け。通常は99.5%のファンドをコールドウォレットに保存しておく。これがベストプラクティスと言われている。
- もう一つがマルチシグで他の暗号化通貨でこれをコアコントラクト実装していないものもある。NEMはコンセンサスによるマルチシグをコアに実装した最初の暗号化通貨。
- 例えばビットコインでは後になってマルチシグを実装しようとしたのでBitGoという会社が複数の取引所のためにマルチシグをアウトソースとして提供している。NEMの場合、取引所はAPIを使うだけでマルチシグを使える。コインチェックを責めるわけではないが、コールドウォレットを使い、マルチシグを実装していれば防げた事件だった。
ユーザーは取引所がベストプラクティスに従っているかどうかをどうやったらわかる?
- 取引所が求めればNEM財団はトレーニングもするしサポートもする
- 話をしている取引所は高度なセキュリティー実装をしているところもある。ただ、どの取引所がいい実装をして、どの取引所がよくない実装をしているのかを名指ししたくはない。
- NEMの次期のNanoウォレットではオフラインでの認証も実装する
- 次期のカタパルト実装で取引所がハックされる可能性はほとんどなくなる
解説
危機管理の対応によって評価を上げるか下げるか。NEMの迅速な対応は素晴らしく、これまで最大のハッキング事件であるにも関わらず評価をあげましたね。今回の件についてどのような考えで、どのように対応するのか全くブレがない。
また、このインタビューにもある通り、コミュニティーとエコシステムの対応が迅速でした。これは本当にすごい!
1つ大きく間違っている情報がありますので、訂正致します。
— Rin, MIZUNASHI (JK17) (@minarin_) 2018年1月27日
私が行っているマーキングですが、通貨にマーキングしている訳ではありません。犯人の財布にマーキングを行なっています。通貨に対してマーキングは不可能ですので、その点を取り違えない様にお願い致します。
NEM財団が、流出資金自動追跡プログラムの作成を開始しました。
— Rin, MIZUNASHI (JK17) (@minarin_) 2018年1月26日
その完成を待ち引き継ぎを行い、作業終了とさせていただきます。
それまでは、こちらで追尾を続けます。
一個だけ抜けてた pic.twitter.com/1rYoBZZD0m
— tk1024 (@tk1024_bot) 2018年1月26日
カタパルトスープレックスなかむらかずや