hacking

昨日、コインチェックのネムがほとんどすべて盗まれるというマウントゴックス事件以来の大事件が起きました。
私もコインチェックにネムを置いていたので被害に遭ってしまいました・・・。
記者会見の様子を見る限り、CEOとCOOには身銭を切ってまで利用者に返金する意思はなさそうでした。こりゃ諦めるしかないかなぁ(;_;)

1/28更新
 コインチェックはネムの紛失分を日本円で補償するとの発表をしました。よかったー(^^)
 ただし、時機については現時点で未定です。業務停止命令が出されることが濃厚な状態で580億もの損失を補填できるんでしょうか??


取引所にコインを置いている場合、その管理は取引所に任せることになります。取引所の管理状態は公開されているわけではないので信用するしかありませんが、現在の取引所はセキュリティよりも事業拡大を重視している部分が多いので正直信用はできません。

しかも、取引所には大量のコインが保管されているため個人のウォレットよりも狙われる確率が非常に高いです。取引するとき以外は個人のウォレットに保管するほうが安全ですね。
私の場合、コインチェックは海外取引所へコインを送るための経由地として使っていたので昨日は運悪くたまたまネムが入っていたのですが。。。



ネムの場合、取引所では個人ごとに自分のウォレットが作成されているのではなく共通ウォレットですべて管理されています。自分がログインした際に表示される残高はウォレットとは別の個人残高を管理するDBに記録された情報を表示しているだけです。なので、現状コインチェックにログインしてネムの残高が表示されていても、自分のネムが盗まれていないのではなくDBの値が残っているだけです。
↓こんな感じ(イメージ)
WS000049
ビットコインなど他のコインでは入金用のウォレットが各自に用意されるのに、なぜネムだけすべて共通ウォレットなのでしょうか?

↓他のコインの場合のイメージ
WS000048


理由は、おそらく2つあります。
1つめは、ネムの特性として送金時にメッセージの付与が可能ということ。このメッセージにIDを付与して送金することで取引所としては個人を特定することができるので共通のウォレットで問題ないという点。多くのウォレットを作成することはそれだけ管理負荷を高めますし、ウォレット間の移動による送金手数料も発生するので取引所としてはなるべく少ないウォレットで管理したいわけです。

もう1つは、ネムのマイニングの仕組みによるもの。ネムのハーベスティングにおいては1つのウォレットで大量のコインを管理することで既得バランスを上昇させ、より多くの報酬を得ることができます。取引所では利用者から預かっているコインでハーベスティングをしているのではないでしょうか。
(Zaifが取引手数料を無料にしてもやっていけるのはこういった仕組みを利用しているからでしょう)


コインチェックの場合、オンラインウォレットでマルチシグ対応もせずにすべてのネムコインを1つのウォレットで管理していたため、ハッカーに目をつけられて盗まれてしまったということですね。Zaifはマルチシグに対応していたため今回は比較的セキュリティの緩いコインチェックが狙われたのでしょうか?

自分のウォレットに移して、ウォレットをオフラインにしておくのが一番安全なのですがその場合怖いのはパスワード忘れとウォレットを保管している端末の故障・紛失ですよね。これらに対応するにはTREZORのようなハードウェアウォレットが必要です。私も投入資産が増えてきて、そろそろハードウェアウォレットの購入を考えているので購入したらまた記事にしたいと思います。