非中央集権取引所プラットフォーム（DEX）のBancorがハッキング被害に遭い26億円相当のETH、NPXS、BNTが盗まれた。Bancorの開発者はハッキングが発覚した9日にサービスを一時停止しているが、現在は再稼動している。ハッキングに関連したアドレスは凍結され、15億円に被害額を抑えた。ユーザーのウォレットは安全だと報告されている。

BancorのトークンであるBNTは、イーサリアムのERC20を活用して発行される。BNTを発行するには、ETHを使いスマートコントラクトを作成する必要がある。発行されたBNTをETHに戻すと、そのBNTは消滅するよう設計されている。

Bancorは盗難被害の詳細を明かしていないが、原因は開発者が管理するアドレスにあるBNTトークンを動かす秘密鍵が流出したことによるものであったようだ。秘密鍵を何らかの手段で入手したハッカーは、BNTトークンをETHに変換し自身が管理するアドレスに送金した。NPXSも同様の手口で盗まれたものと推測される。

何者かがBNTを他のトークンに変換していることがわかると、開発者はそのアドレス自体を凍結し被害の拡大を防いだ。一方、盗まれたETHやNPXSを凍結する術を持たないBancorは、取引所などと連携を取り、現金化を防ぐ措置を取るとしている。

今回の大きな問題点は、カウンターパーティーリスクを防ぐためのDEXが管理者側の問題でハッキングが起きたという点だ。今年に入り中央集権の取引所が狙われる事件が多発しており、日本ではCoincheck、韓国でBithumbなどが相次いでハッキング被害に遭っていたため、DEXへの需要は日に日に高まっていた。

しかし事件をきっかけに、Bancorが現状非中央集権ではないことが発覚した。まず開発者側の権限で、アドレスにあるBNTを凍結できてしまう点だ。開発者は、凍結プログラムをハッキングが起きた時などのための緊急プログラムとして、プロトコルに組み込んでいたと説明している。中央の権力者の意向で、アドレスが凍結されたり取引を行うことをできなくすることが可能であった。

Here is the latest update on the recent security breach: pic.twitter.com/JroypFvBri

— Bancor (@Bancor) July 9, 2018

一方、部外者のハッカーが秘密鍵を入手し犯行を行ったのか、Bancorの内部犯によるものなのかを判断する術がないことも透明性に欠け、非中央集権ネットワークとしては懸念点だ。ブロックチェーン上では取引履歴を確認することはできるが、「誰がどのようにトークンを盗み出したのか」を確認することはできない。

さらにBancorのプロトコルには、開発者の意向でBNTトークンを発行したり、破棄したりすることができるプログラムも組み込まれていた。

Dogecoinの開発者だったJack Palmer氏は、Kyber Network、MakerDAO、Enigma、Augurなどの非中央集権アプリケーション（Dapps）にもBancor同様、開発者側の意向でトークンをコントロールできる仕組みがあることを指摘している。

.@AugurProject can do the same. Ability to completely and centrally pause transfers across their $373M market cap. Such decentralization. Much farce.

Source: https://t.co/wz9QjQmcm0 pic.twitter.com/qb4Lenr3fy

— Jackson Palmer (@ummjackson) July 10, 2018

Bancorのハッキングから複数のブロックチェーンプロジェクトが中央集権的に開発が進められており、カウンターパティーリスクが存在することが浮き彫りとなった。ユーザーは潜在的なリスクを理解した上でDappsやDEXを利用する必要があるようだ。

CSO
Bancor Unchained: All Your Token Are Belong To Us

引用元： ビットコインニュース