はじめての仮想通貨
TOP 新着一覧 チャート 学習-運用
CoinPostで今最も読まれています

未だ残るビットコインフルノードの脆弱性とは

画像はShutterstockのライセンス許諾により使用

未だ残るBitcoinフルノードの脆弱性
2018年9月18日、Bitcoin Coreの脆弱性、CVE-2018-17144が報告され、フルノードのDoS(サービス拒否攻撃)を引き起こしうる問題が含まれていたことが判明している。ビットコインでは、そうした脆弱性を持つノードはどれくらい放置されているのだろうか。その詳細を調査した。

脆弱なノードはどれくらいあるのか? その脆弱性とは

ビットコインでは、脆弱性を持つノードはどれくらい放置されているのだろうか。この点について、有名な Bitcoin Core 開発者であるLuke Dashjr氏が分析結果を公開している。

記事執筆時点(5/11)で、たった32.75%のフルノードがアップデート済みとなっており、全体としては70%近くが脆弱という結果が示されている。なぜこのような結果になっており、脆弱性が残っているにもかかわらず、注意喚起されていないのだろうか。

bitnodeによれば、現時点で全世界におけるフルノードは 9540前後となっている。このうち大多数はアップデート済みのバージョンであり、このウェブサイトによれば、70%以上が比較的新しいバージョン(0.16.3以降)で動作していることがわかる。

しかし、カナダのBullBitcoinのCEOを務めるFrancis Pouliot氏によれば、フルノードは全体で10万に達するという。あくまで観測されている範囲で「リッスン」しているノードだけがカウントされる傾向にあり、その数が約1万と報告されている、というのだ。

thenextwebの記事において、Dashjr氏も「リッスンしているというのは、つまりポートがオープンになっているかどうか、というようなことだ。リッスンしているノードだけを見ても、あまり意味がある情報とは言えない。そこには、リッスンしていないノードが含まれていないからだ」と述べている。

Bitcoinを脅かす脆弱性「CVE-2018-17144」とは?

2018年9月18日、Bitcoin Coreの脆弱性、「CVE-2018-17144」が報告された。フルノードのDoS(サービス拒否攻撃)を引き起こしうる問題が含まれていたためだ。技術的には、以下のような問題があったとアナウンスされている。

Bitcoin Core 0.14では、2012年に追加された1つのトランザクション内に同じインプットを2回使用していないかチェックする初期のリレー前ブロックの検証中に、コストのかかるチェックを回避する最適化が追加された。

UTXOの更新ロジックはそのような条件が0.14で違反されていないことをチェックするのに十分な知識を持っているが、完全なエラー処理ではなくサニティチェックアサーションでのみ行う(ただし0.8以前このケースを2回完全に処理した)。

したがって、Bitcoin Core 0.14.Xでは、ブロック内の単一のトランザクション内でトランザクションアウトプットを二重使用しようとすると、報告されていたようにアサーションエラーとクラッシュが発生する。

Bitcoin Core 0.15では、未使用のトランザクションアウトプットの追跡を簡略化し、リソース枯渇攻撃への脆弱性を修正するための、より大きな再設計の一環としてアサーションが僅かに変更された。アウトプットが未使用から使用済みにマークされたか検証する代わりに、存在するかどうか検証するだけになった。

したがって、Bitcoin Core 0.15.X, 0.16.0, 0.16.1および0.16.2では、使用されているアウトプットを同じブロック内に作成されたブロック内の単一のトランザクション内で二重使用しようとすると、同じアサーションエラーが発生する(0.16.3のパッチに含まれているテストケースに存在する)。

ただし、前のブロックで二重使用されたアウトプットが作成された場合でも、エントリーはDIRTYフラグがセットされたままCCoin mapに残っており、使用済みとマークされているため、アサーションは発生しない。これによりマイナーがBitcoinの供給量を増やすことが可能になり、増やした値で二重使用する可能性がある。

問題となるのは、9/20に開示された「0.15」における問題だった。簡単に言えば、条件を満たすことでコインを増殖させることができるというものだ。

実際、YentenやBitzenyといったビットコインからフォークしたコインでは対応が遅れたため、攻撃者が脆弱性を利用してコインを増殖させるというインシデントが発生してしまった。

この脆弱性はBitcoin Coreバージョン 0.16.3および 0.17.0rc4で修正されており、公式アナウンスによれば、過半数以上のフルノードが脆弱性に対応済みだと考えられてきた。しかし、詳しく調査してみると、古いバージョンのノードが多数放置されている実態が浮かび上がってきた。

くすぶり続けるリスク

脆弱なフルノードが多数残っているということは、時価総額が最も高いビットコインでさえ、攻撃のリスクを抱えているということだ。ただし、攻撃が即座に可能だ、というわけではない。

前述のYentenやBitzenyとは異なり、ビットコインのハッシュレートは非常に高い。したがって、一部のフルノードをDoS攻撃でクラッシュさせたとしても、51%攻撃を成功させるためのハードルは高いままだろう。

また、増殖に関しても同様だ。0.15など一部のバージョンでのみ動作するため、大多数のハッシュレートを管理するマイナープールなどが最新バージョンを使っている限り、起こりえないと言っていい。

もし読者の方々にフルノードをお持ちの方がいたら、バージョンを忘れていないか、確認して頂きたいと願うばかりだ。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAO では被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
05/18 日曜日
14:00
今週の主要仮想通貨材料まとめ、企業のETH大量購入やアーサー・ヘイズのBTC100万ドル到達予測など
前週比で振り返る仮想通貨市場の最新動向。ビットコインやイーサリアム、XRP、ソラナなど主要銘柄の騰落率や注目材料を一挙紹介。市場トレンドと関連ニュースを詳しく解説する。
12:49
UPCXが2025 Tokyo E-Prixスポンサーに 次世代決済とFanlinkの可能性を解説
UPCXが「2025 Tokyo E-Prix」のスポンサー契約を発表。世界標準決済を目指すブロックチェーンプラットフォーム「UPCX」と、ファン支援サービス「Fanlink」の特徴をCEO中野誠氏が解説した。秒間10万件の処理能力やグローバル展開の展望とは?
11:00
週刊仮想通貨ニュース|メタプラネット株価1340円到達の可能性に高い関心
今週は、仮想通貨ビットコインの専門家アダム・バック氏によるメタプラネットの株価試算、資産運用会社によるイーサリアム価格急騰の要因分析、空売り投資家ジム・チェイノス氏の投資戦略に関するニュースが最も関心を集めた。
05/17 土曜日
14:00
アブダビ政府系ファンド、ビットコインETF買い増しで保有額750億円突破
アブダビのムバダラ・インベストメントが第1四半期にブラックロックのビットコインETFを49万株追加購入。ゴールドマン・サックスは最大保有者として3000万株を保有。
13:05
ビットコインETFフェイクニュース事件、犯人に懲役14か月の判決
米SEC公式Xアカウントを乗っ取り、ビットコインETFについてのフェイクニュースを流した26歳の被告に懲役14か月の判決が下りた。偽情報で仮想通貨市場を混乱させたことが重大視された。
12:43
史上最高値を試すのは時間の問題か、米中貿易緩和も上値トライ失敗|bitbankアナリスト寄稿
米中関税115%引き下げ合意やインフレ指標下振れもビットコイン上値を抑える展開。アリゾナ州知事の暗号資産準備金法案への拒否権行使も影響。短期筋による損切り送金増加で売りをこなした可能性。史上最高値トライは時間の問題か。bitbank長谷川アナリストが週次相場分析を解説。
11:00
ビットコイン長期保有数1437万BTCに到達も、利確売り強まる=アナリスト分析
ビットコインの長期保有者が3月から5月にかけて利益確定を加速。支出利益率は71%増加し227%の平均リターンを記録。長期保有量は1437万BTCに達するも、市場サイクルの分配フェーズへの移行を示唆。
10:10
トランプ家のWLFI、民主党議員による調査要請を正式拒否
トランプ一族の金融企業WLFIが上院による調査を拒否した。政治的動機と批判し、同社は説明責任や米ドル優位性を指針としていると主張。倫理規定違反の疑惑なども否定している。
09:02
ETH・BTC比率が5年ぶり急騰、アルトシーズンの到来示唆か
イーサリアム/ビットコイン(ETH・BTC)価格比率が過去5年最低水準から38%急反発。ETFによる買い増し、取引所流入減少などの指標から需要増加・売却圧力低下が鮮明に。「極端な過小評価ゾーン」からの回復が示すアルトコインシーズン到来の可能性を分析。
07:50
ビットコインで利回り獲得、Solvがアバランチ基盤の新トークン発表
仮想通貨ビットコインの保有者にRWAの利回り獲得手段を提供するため、Solv Protocolはアバランチ上にSolvBTC.AVAXをローンチ。ローンチの目的や仕組みを説明した。
07:30
10億ドルのビットコイン投資を検討、米上場のシンガポール医療企業
シンガポールの医療企業バーゼル・メディカル・グループが10億ドル規模のビットコイン投資に関する交渉を開始。ストラテジー社に続く大規模企業BTC投資の新事例として注目される中、「革新的な株式交換契約」を通じてアジア医療企業最強の財務体質構築を目指す。
06:45
米裁判所、SECとリップルの和解案を「手続き上不適切」として却下 再申請へ
米連邦地裁がSECとリップルの和解申請を「手続き上不適切」として却下。民事訴訟規則違反が原因で、両者は適切な手続きでの再申請を迫られる状況に。
06:25
イーロン・マスクの『Kekius Maximus』切り替えでミームコインが2倍以上急騰
イーロン・マスク氏がツイッターのプロフィール画像とユーザー名をミームトークン「Kekius Maximus」に変更し、関連トークンが2倍以上急騰。昨年の900%上昇・急落事例に続くマスク氏のSNS活動による仮想通貨市場への影響力を示す展開に。
06:05
サウジ中央銀行、15億円相当のストラテジー株保有でビットコインに間接投資
サウジ中央銀行がセイラーのストラテジー社の株を25656株取得し仮想通貨ビットコインへの間接投資を開始したことが確認された。
05/16 金曜日
17:00
マスクネットワークとは?仮想通貨MASKの買い方・取引所まで徹底解説
Mask NetworkはSNS×Web3をシームレスに接続するSocial-Fiプラットフォーム。本記事では特徴とMASKトークンの買い方を初心者向けに解説します。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
重要指標
一覧
新着指標
一覧