ビットコイン取引手数料で4億円超の過払い　アントプールが返却へ

4億円超の過払い手数料

マイニングプール大手のアントプールは30日、あるユーザーが過大に支払った83ビットコイン（BTC）の手数料を返却すると発表した。本人確認方法などを伝えている。原因としてはハッキングの可能性なども浮上しているところだ。

これは、あるユーザーが23日に、55.77 BTC（時価3.1億円相当）の送金に対して 83.65 BTC（時価4.7億円相当）のガス代（取引手数料）を支払っていたことが背景だ。ユーザーは通常の12万倍以上多く支払っていたことになる。

この取引を処理したアントプールのリスク管理システムは、異常なトランザクションを検知して、この手数料を一時的に凍結した。12月10日までに連絡するよう、送金主に呼びかけている。

本人確認手順としては、署名ツール（ElectrumまたはBitcoin Core）によりAntPoolに詳細を送信し、AntPoolから提供されたアドレスの秘密鍵を使用して、コード「AntPool」でメッセージに署名するよう案内する形だ。

同様の事例では9月、Web3決済サービスプロバイダーPaxos（パクソス）が取引手数料として7,500万円相当のBTCを誤って支払ったことがある。この際には、当該取引を処理していたマイニングプールF2Poolを通して、パクソスに返金が行われた。

関連：PayPalパートナーPaxos、ビットコイン手数料に7,500万円の過払い

ハッキングの可能性も浮上

今回の過大な支払いについては、送信者が誤って高額な手数料を選択した可能性や取引置換（RBF）注文に関する認識不測の可能性を指摘する声が挙がっていた。

RBFとは、手数料を通常より多く支払うことにより、メモリプール内の未確認取引を、別の取引と置き換えて他より早く承認してもらうための手続きだ。今回の送信者は、RBF注文が取り消せないことを知らなかったのではないかと推測する意見が聞かれた。

しかし、その後24日には、あるX（旧称ツイッター）ユーザーが、取引を行ったのは自分だと名乗り出た。ハッキングがあった可能性に言及している。

このユーザー「83_5BTC」によると、新しいコールドウォレットを作成し、そこに宛てて139 BTCを送金したところ、なぜかすぐにその資金が別のウォレットに転送されてしまったという。

「83_5BTC」は、誰かがそのウォレットで不正なスクリプトを実行していて、そのスクリプトが不正確な手数料計算を行っていたのではないかと推測している。

「83_5BTC」は、該当する取引を実行した秘密鍵の所有権を証明するメッセージに署名しており、このことが問題になっている資金が自分のものだと証明するとも述べた。

このことについては、メモリプール開発者のMononaut氏が確認を行い、確かに「83_5BTC」氏が多額の手数料を支払った際の秘密鍵を管理しているとコメントしている。

The signature checks out, @83_5BTC apparently controls the key that paid that 83.7 BTC fee.

1/🧵 https://t.co/vmZFn6sozN pic.twitter.com/rFcxmxOCwO

— mononaut (@mononautical) November 27, 2023

ただし、ウォレットがハッキングされていた場合には、ハッカーによって署名された可能性もあり、AntPoolは被害者の身元確認に関して現在提案しているのと別の方法で行う必要があるとも続けた。

Mononaut氏は、低エントロピーのウォレットを使用していた場合、そのことがハッキングを可能にしたかもしれないと意見している。低エントロピーのウォレットとは、シードフレーズを生成する際のランダム性が不十分なウォレットで、攻撃に対して脆弱であるとされる。

関連：仮想通貨取引所Poloniexハッキング、1億ドル以上流出