- イーサリアム大型アップデート、脆弱性の指摘受け延期が決定
- 日本時間17日午後1時頃に予定されていたイーサリアムの大型アップデート、コンスタンティノープルにおけるリエントリー攻撃への脆弱性が監査機関ChainSecurity社の指摘で発覚した。これを受け、イーサリアム財団はアップデートの延期を発表、Geth・Parity最新版へのアップデートを促した。
イーサリアムの大型アップデート、延期が決定
本日午前7時前後、イーサリアム財団が今週17日に予定されていた大型アップデート、コンスタンティノープルにおける脆弱性が発覚したため、延期を発表した。
[SECURITY ALERT] #Constantinople upgrade is temporarily postponed out of caution following a consensus decision by #Ethereum developers, security professionals and other community members. More information and instructions are below. https://t.co/p2znO8HGxf
— Ethereum (@ethereum) 2019年1月15日
今回の延期から考えられるイーサリアム(ETH)価格への影響とリエントリー攻撃に関する説明を追記しました。
具体的な脆弱性として挙げられたリエントリー攻撃が、スマートコントラクト監査団体のChainSecurityの公開した「コンスタンティノープルはリエントリー攻撃を可能にする」と題されたブログ投稿内で指摘され、発覚した。
出典:ChainSecurity
今週17日に予定されていたアップデート項目の一つ「EIP1283」で、以前のイーサリアムより低いガス(取引手数料)が実現した事や追加される新たなスマートコントラクトのコードが今回の脆弱性の主な理由として挙げられている。なお、これらの脆弱性は、まだアップデートが行われていない現時点において未だ適用されていないため、問題かする心配はない。
ChainSecurity社の脆弱性に関する指摘を受けイーサリアム財団は急遽日本時間17日、予定されていたアップデートの延期を発表した。
出典:ethereum.org
延期をする上での対応としては、アップデート実行ブロックとして設定されていたブロック数7,080,000到達前に、ノード運営者(取引所、マイナー、ウォレットサービス提供者、等)がGeth、又はParityの最新版へアップデートするようを促している。
なおイーサリアム保有者は、アップデート延期に際して何もする必要はない。
アップデート延期、ETH価格への影響
今回の大型アップデート「コンスタンティノープル」延期発表はイーサリアムの価格にも影響を及ぼしている。
発表があった日本時間午前5時半前後、イーサリアム(ETH)価格は急落し、全面的に価格の下落がみられた上位仮想通貨銘柄においても他通貨よりも大きい約-6%の下げ幅を見せた。
出典:CoinMarketCap
出典:CoinMarketCap
リエントリー攻撃とは
また今回実装される予定だったコンスタンティノープル内のアップデート項目の一つであるEIP-1283で指摘されたのは「リエントリー攻撃」と呼ばれるもので、これはイーサリアムのスマートコントラクトに何度も入り(エントリー)、被害対象のアカウントから送金を過度にくり返してしまう脆弱性だ。
被害にあった場合、残高以上に複数回送金を攻撃先のアドレスにしてしまうバグである。
通常はガスと呼ばれる手数料を払う事でこのようなバグは免れていたが、今回のアップデートで取引手数料が低下する事もEIP-1283の脆弱性をさらに活用される可能性が懸念視されている。
脆弱性を発見した専門家のコメント
監査機関ChainSecurityのCTOで、今回リエントランシー攻撃の脆弱性を発見したHubert Ritzdorf氏は大手仮想通貨メディアCoinDeskに対して以下の様に述べた。
今までは少額のガスを払う事で便利な事はできたが、悪意のある事はできなかった。
しかし今回複数の機能が安くなった事で、さらに少額のガスで不正行為も可能になってしまう。
また同じくChainSecurityのCOO、Matthias Egli氏はこの脆弱性はイーサリアムバーチャルマシン自体の問題ではなく、イーサリアム独自の開発言語であるSolidity特有の問題であると述べ、コンスタンティノープル延期は正しい決断だとコメントした。
コアの問題ではなく、Solidityの仕組みがリエントリー攻撃を可能にする。(アップデートが実装された場合)
今まで考慮されなかったガス・コストを低下する事の余波はこれだろう。しかしこの脆弱性を修正したとしても、既に実装されているスマートコントラクトを「壊す」こととなるかもしれない。
(アップデートの延期は)正しい決断だ。少なくとも研究者達が実際の(ガス低下が与える)影響を考える時間が生まれる。しかし約1ヶ月は延期されるであろうハードフォークにおいて今回のEIP(1283)は含まれない可能性が高いだろう。
なお脆弱性を指摘したChainSecurity関係者は約1ヶ月延期されるであろうと予想しているが、現段階では本日発表された延期がいつまで続くかは未だ公表されていない。引き続きイーサリアムコミュニティからの新情報を待つ必要があると言える。
ビットコイン価格の乱高下やイーサリアム価格など、本日の仮想通貨市場に関する詳細はこちらからどうぞ。
本日の速報をチェックスマートフォンへの「プッシュ通知」で、相場に影響を及ぼす重要ニュースをいち早く知らせてくれる「LINE@」の登録はこちら。大好評につき、登録者10,000名突破。
CoinPostのLINE@、おかげさまで順調に登録者増加中!
— CoinPost -仮想通貨情報サイト- (@coin_post) 2018年10月12日
・各国の規制ニュースや取引所関連速報
・BTCやアルトコインの高騰・暴落情報
・相場に影響し得る注目カンファレンス
など、国内外の「重要ファンダ」をいち早く入手したい方は是非ご活用ください。QRコードでも登録可。https://t.co/4rkZi4LwVx pic.twitter.com/7IUwECtvC0
CoinPostの関連記事
画像はShutterstockのライセンス許諾により使用