EtherDeltaが、DNSサーバにてフィッシング攻撃を受けました。
244,000ドル以上の被害
ハッカーはEtherDeltaのWebサイトに侵入し、人気あるイーサリアム交換所のコピーになりすましました。ハーカーは305ETH、法定通貨にして244,000ドル以上を盗み出しました。
2017年にハッキングの犠牲者となった交換所は、EtherDeltaだけではありません。
今年の初めに、Bitthumbは数百億のウォンを失い、12月19日にはYoubitは保管してあったビットコインの17%を奪われ破綻しました。
分散型トレード及びスマートコントラクトで被害抑制
Youbitとは違い、EtherDeltaは、独自のハッキングランインで被害を抑えることができました。これはEtherDeltaが分散型であり、スマートコントラクトが実装されていたためです。
典型的な取引所(Bithumb、Bittrex、Binanceなど)は中央サーバーにて管理され、銀行のように機能します。
取引所のサービスを使用する場合は、取引所の顧客アカウント管理を信頼し、資産は取引所を通じてIOU単位で購入および分配されます。取引所は、顧客が資金を引き出すまで、その資金を保全します。
一方、EtherDeltaはトラストレスです。
取引所のすべてがピアツーピアであり、EtherDelta自体はユーザーの資金を管理せず、取引を容易にするプラットフォームを提供するだけです。
結果として、ユーザーは自分のキーを完全に管理することになります。手動でキーを入力するか、EtherDeltaをLedger Nano SまたはMeta Maskブラウザのウォレットと同期させることによって、取引所にインポートします。
アップロードしたユーザーは、イーサリアムを搭載したスマートコントラクトを使用してキーを管理します。
スマートコントラクトとEtherDeltaのトラストレスな分散化により、ハッカーはフィッシング詐欺ような手段を使わざる負えませんでした。
Bittrexであれば、ハッカーは個々人の鍵を置くための取引所のホットウォレットの予備を準備するだけで済みます。EtherDeltaには予備がないため、秘密鍵にアクセスするためにフィッシング詐欺を使用し、ユーザーを騙して鍵を公開させる必要がありました。
スマートコントラクトで保有されている資産は安全だった
取引所のスマートコントラクトで保有されている資金は手付かずでした。
また秘密鍵を保持しているLedger Nano SまたはMeta Maskウォレットで資金が管理されているため、攻撃時に安全でした。ハッカーは、悪意のあるサイトの手動入力からログを記録できる鍵を盗むことしかできませんでした。
ウェブサイトのトラフィックをリダイレクトする際、ハッカーはEtherDeltaのドメイン名を乗っ取っただけで、取引所そのものやスマートコントラクトを侵害することは出来ませんでした。
ユーザー側の注意も必要
EtherDeltaは、ハッキングされませんでしたが損失はそれでも大きいです。分散型とスマートコントラクトの保護があったとしても、フィッシング攻撃のリスクを考慮したセキュリティ対策を講じなければなりません。
取引所の通常のレイアウトと比較して、偽のウェブサイトが存在する可能性があるということを理解し、注意を払うことはユーザーの責任です。
