Mt. Gox崩壊から10年:黒幕は誰か?盗難事件はどのようにして起きたのか?
TechFlow厳選深潮セレクト
Mt. Gox崩壊から10年:黒幕は誰か?盗難事件はどのようにして起きたのか?
真犯人はまだ謎のままだ。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Mark Hunter、CoinDesk
翻訳:Deng Tong、金色財経
日本のビットコイン取引所Mt. Goxは2014年2月に破綻した。
2011年3月から2014年1月までの間に、Mt. Goxはさまざまな形で88万枚以上のBTCを失ったか、盗まれた。現在ではこの損失額は450億ドルにのぼるが、Mt. Goxの破綻から10年が経過した今なお、いくつかの重要な問題が未解決のままである。
犯人は誰なのか?
依然として不明な重要な点の一つは、すべての真の犯人を我々が知っているかどうかである。Mt. Goxの運営期間中に、合計809,000 BTCが6回のハッキングによって盗まれたが、そのうち関与が確認されているのは一回の攻撃に関連する二人だけだ。アレクセイ・ビリュチェンコ(Alexey Bilyuchenko)とアレクサンドル・ヴェルナー(Aleksandr Verner)は、2011年10月に取引所を侵入したロシアのハッカー組織の一員として起訴されている。二人は26か月間にわたり、取引所のコールドウォレットから647,000ビットコインを盗み、マネーロンダリングを行った。
ヴェルナーとビリュチェンコは米国当局からのみ起訴されており、しかも起訴内容は「ハッキング」ではなく「マネーロンダリング」である。これは、彼らに対する直接的なハッキング証拠が不足している可能性を示唆している。
2017年に封印され、昨年6月に公表されたこれらの起訴以外では、残りの162,000 BTCを盗んだ人物については何もわかっていない。79,956 BTCは「1Feex」で始まる著名なアドレスに依然として紐づいており、2011年9月に盗まれた77,500 BTCはまったく追跡されていない。このハッキングはあまりに巧妙だったため、発覚したのは2015年になってからだった。
さらに、2011年6月には2,000 BTCを盗んでビットコイン価格を17.50ドルから0.01ドルまで暴落させた人物もいた。また、Mt. GoxのCEOマーク・カルペレス(Mark Karpelès)が不在の際に、取引所保有のビットコインの半数以上を盗もうとしたハッカーもいた。そのウォレットは暗号化されていないネットワーク上のドライブに置かれていた。幸運にもカルペレスにとっては、そのハッカーが最後に引き下がり、報奨金1%で交渉を持ちかけたため、300,000 BTCもの損失を回避し、実際の損失は3,000 BTCで済んだ。
こうしたすべての事件において、誰が実行したのかは明確には分かっておらず、今後もおそらく永遠に不明のままになるだろう。手口が類似していることから、多くの人々は「1Feex」のハッキングが、2011年10月から2014年1月にかけての大規模な脆弱性攻撃の「試行」だったのではないかと疑っているが、これはいまだに証明されていない。
盗難はどのようにして起きたのか?
Mt. Goxが失った881,865 BTCのうち、どうやって失ったかが判明しているのはわずか72,409 BTCだけである。Mt. Goxのシステム上、30,000 BTCは顧客預かりとして記録されていたが、実際にはすでにハッカーに盗まれていた。2011年10月、マーク・カルペレスが誤って2,609通のメールを存在しないアドレスに送信してしまった。また、Mt. Gox上で動作していた二つのボット「Markus」と「Willy」が22,800 BTCを損失した。カルペレスは2011年7月にポーランドの取引所Bitomatを17,000 BTCで買収している。
それ以外の部分については、侵入経路が不明であるか、単なる推測にすぎない。2011年6月のハッキングでは、ハッカーが管理者レベルのアカウントからMt. Goxサーバーにアクセスできたことがわかっている。当初は監査人のオーデン・マケルナン(Auden McKernan)のアカウントだと考えられていたが、後にそれは創設者ジェド・マカラブ(Jed McCaleb)のアカウントであり、彼がMt. Goxをカルペレスに売却した後も、なぜか管理者権限を保持していたことが明らかになった。「1Feex」ハッキングでは、Mt. Goxのユーザー全データベースとともに79,956 BTCが盗まれたと考えられている。
米当局がヴェルナーとビリュチェンコを2011年10月のMt. Gox侵入組織の一員と断定できるほど自信を持っているということは、何らかの証拠を持っているはずだが、裁判(ほぼ確実に行われることはないが、すでに名前は公開されている)が開かれなければ、その詳細は永久に明らかにならないだろう。
Mt. Goxのビットコイン保管は安全だったのか?
ハッカーがMt. Goxサーバーにどうやってアクセスしたかという問題と同様に、なぜ supposedly 安全に保管されていたコールドウォレットの中身まで盗まれたのかという点も重要である。2011年6月のハッキング以前、カルペレスはユーザービットコインを物理的・ソフトウェア的なさまざまなウォレットに適当に分散させて保管しており、これが被害の拡大と復旧作業の長期化を招いたことはわかっている。
カルペレスは、この出来事がきっかけでより安全なシステムを導入したと主張している。つまり、ビットコインを複数のペーパーウォレット(後に数百枚の紙に及ぶと語った)に分割し、東京中の銀行の貸金庫やセーフティボックスに保管したという。そのため、仮にホットウォレットが再び盗まれても、「1Feex」ハッキングのように、コールドウォレットは影響を受けないとされる。
これ自体は十分安全に思えるが、2011年10月から2014年1月にかけて実際にコールドウォレットが根こそぎ盗まれた事実が明らかになると、当時のビットコインブロガーや、後に暗号資産投資会社Andreessen Horowitzのジェネラルパートナーとなるアリアナ・シンプソン(Arianna Simpson)など多くの人々が疑問を呈した。
「正しく運用されていれば、コールドストレージのウォレットは、たとえホットウォレットが漏洩してもアクセスされることはないはずです。それが両者を分ける意味なのですから。」
では、なぜコールドウォレットが漏洩したのか? カルペレスは自身のカスタム設計によるコールド/ホットウォレット体制について正式に確認したことはなく、資金管理の不備を理由に訴訟を避けようとしている可能性がある。しかしインタビューでの発言からは、一貫性に欠け、時に論理矛盾すら感じさせる状況描写がうかがえる。
ペーパーウォレットを使用しながら、ホットウォレットへの資金補充を安全に行う唯一の方法は、ペーパーウォレットを取り出し、超安全なネットワーク上で多段階の手動取引を行うことだ。これは毎回行わなければならないが、いかなる規模や取引量のビットコイン取引所にとっても現実的ではない。Mt. Goxのスタッフはカルペレスがペーパーウォレットを扱っているのを見たことがなく、実際、『究極の災厄:Mt. Goxは如何にして50億ドルを失い、ビットコインをほぼ殺したのか』という著書の中で、有名なスタッフたちが語っているのは「ホットウォレット」に関する話だけであり、「コールドウォレット」の話は一切出てこない。
では、コールドウォレットが尽きたときに自動的にホットウォレットを補充し、逆もまた然りという仕組みがあったのか? それが唯一の実現可能な運営方法に思えるが、それはまさにコールドウォレットシステムの根本理念を完全に損なうことになる。
カルペレスは取引所の破綻を知っていたのか?
これは今なお意見が分かれる大きな問題である。カルペレス自身は、2014年2月中旬にコールドウォレットをチェックするまで、取引所が破綻していることに気づかなかったと主張している。しかし、この主張には疑問の余地がある。Mt. Goxは2013年8月からすでにビットコインの出金問題を抱えており、これは警戒すべきサインだったはずだ。しかしカルペレスは、繰り返しハッキング被害に遭っていたにもかかわらず、Mt. Goxが資金不足であるとは認識していなかったように見える。
2014年初頭に「トランザクション・マルチプリケーション(取引可延長性)」の脆弱性が浮上した際、カルペレスはすぐにこれを出金問題の原因と結びつけたが、ごく小規模な盗難であっても、それを実現するには相当な社会工学的技術が必要であることが知られている。また、監視システムが存在していたため、損失を疑わなかったとも語っている。もし本当にそのようなシステムが存在していたなら、その設計が不適切だったということになり、取引所の経営不全を示唆するものだ。
言うまでもなく、多くの人々はカルペレスが2014年2月になって初めて損失に気づいたという話を信じていない。さらに進んで、カルペレスは失われたビットコインを把握していただけでなく、WillyとMarkusを使って損失を埋めようとしていたという見方もある。もしそれがカルペレスの意図だったなら、結果は裏目に出たことになる:取引所崩壊前に、この二つのボットは合わせて22,800 BTCと5,160万ドルを失っていたのだ。
要するに、Mt. Goxのビットコインがどのように保護されていたかについては、マーク・カルペレスが自ら語らない限り、我々にできることはただ推測するだけなのである。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
CoinDesk
