また、取引所から資金が不正に流出されてしまった。
そして、いつも思うこと。





Ads


提供は Investing.com

BitPointの対応は今までと違い迅速な対応であった

今回の流出の件は、日本の取引所としては、迅速な対応であったと思う。
ただ、あれだけのセキュリティを施していながら、資金流出がされるとは、何かしらの原因があったのだろう。

本当に外部からハッキングがあったのだろうか?

私的な私信に過ぎないけど、本当に外部からのハッキングがあったのかと疑問に思う。
というのも、あれだけのセキュリティ対策を施しておきながら、流出が起きてしまったからである。

インサイダー(内部者)の可能性あり

万が一のことを考えて、ウォレットのSEEDのバックアップをしておくのが、常識である。
そのSEEDが何かしらの原因で、流出してしまった可能性がある。
今回は、ウォレットをマルチシグをしていて、かつそれも暗号化されているので、内部から取り出すのは非常に難しい。
過去(2018/05/25)、BitPointから、送金してもらったことがあるが、ちゃんとマルチシグ(2of2)になっていた。

ということは、(BTCに限って言えば)その秘密鍵を2つとも盗まれたということになる。

ということは、外部から、暗号化された(なんでも、独自技術らしい)秘密鍵を盗んだところで、使用することは容易ではない。
んで、考えられるのは複数のSEEDを知っている内部犯の可能性が高い。

個人的な見解だけど、SEED一つで複数のウォレットを管理していた可能性がある

SEED一つで、複数の暗号資産が管理できる。

参考

そして、そのSEEDが盗まれてしまった可能性があり得るということだ。
可能性といえば…

  • ステージング環境(本番環境に似た、試験環境)に本番のSEEDを置きっぱなしで、開発者から流出
    大体、ステージング環境があるので、そこから流出される可能性がある。
    その場合は、開発者に疑いがかかるけど、もし、ITゼネコンのように、いろんな人や企業がかかわっていると、どこから流出したのを見つけるのは難しい。
    #もう、開発者がやめてしまった可能性もあるし
  • バックアップSEEDを何かしらの方法で物理的に窃取
    実は、厳重保管されていなくて、ある程度の権限を持った人(例えば開発者)内部の人間が盗んでしまったとか。
  • ステージング環境のハッキング
    もし、内部犯でなければ、これの可能性が高い。
    もし、本番機と試験機で同一SEED(マルチシグだから、2つのSEEDだけど、便宜上そう呼ぶ)を使われていたら、試験機をハッキングすれば、ソースレベレルまで見られるので、SEEDの暗号化を施しても、簡単に解読できてしまう。
    #独自といえども、ソールレベルから紐解いていけば、突破できる

リリース通り、7月11日 21時頃に流出があった

確かに私が知っている、BitPointのBTCアドレスでも、その近辺から、流出が起きていることを確認した。

知っているアドレス
https://btc.com/3DzSVk4veMCkNbNT9CdETeE26uWxmNbBnD

流出が始まったトランザクション
https://btc.com/284920fce0a3197d72236ba30a8c8134c95ff221084bea8e508abed8680e6a9b

その他は、有志の方々にお任せするとしよう。

んで、本題

これだけ、セキュリティを施しておきながら、流出するんだから、自分の資産は自分で管理するしか防衛手段はないでしょう。
なのに、なぜ、自分のウォレットに送付しないのかいまだに疑問に思う。
想像ではあるが、以下のような理由があるからだと思うが…

  • 自分でウォレットを作るのがめんどくさい
    たぶん、これが一番多いかな?
    ウォレット作成なんて、スマホ(もしくは自分のPC)とメモ帳(SEEDを書き留めておくもの)があれば、すぐにでもできるぞ。
    スマホがハッキングされるから?
    そんなに心配な金額なら、ペーパーウォレットを作って補完しなさい!(取り出しにめんどいけど)
    もしくは、ネットワークに常時接続されないスマホに保管しておきなさい。
  • 取引が楽
    確かに、売りたいタイミングですぐ売れるから、置きっぱなしという人もいる。
    ただ、そんな大金を取引するなんて、どんだけ金持ちなんだよ…orz
  • もし、何かあった時、対応してくれる
    そもそも暗号資産は、自分の資産は自分で管理するもの。
    その概念がわからないと、暗号資産の本来の意味を満たさない。
    銀行みたいなことを言わないでもらいたい。

どちらにしても、たいてい最初にくる理由は、

  • 面倒くさい
  • 自分で作るのは不安
  • ハッキングが怖い

に集約されている。

めんどくさがり屋なのに、正しい知識をつけずに、他人に任してしまう、ある意味現代人だね

そんな人間が暗号資産扱うなとは、言わないけど、最低限の知識だったり、自分で解決する能力ぐらいはつけてもらいたい。
でないと、結果的に損をするぞ。

ということで

すぐに取引しないなら、自分が作成したウォレットで保管しておけ!

ちなみにGMOコインは、送付手数料が無料

送付するのに、手数料がかかる取引所がありますが、GMOコインは、なんと無料です。
ちゃんとマルチシグ(BTCのみ確認)になっています。
これを機会に是非。

GMOコイン


Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

読んでいただき、ありがとうございます。
カンパを募っております。
お返しに、自作仮想通貨(トークン)
KWDCOIN(カワダコイン)をお渡ししています。
詳しくは、こちら。

ご支援のほどよろしくお願いいたしますm(__)m