はじめての仮想通貨
TOP 新着一覧 チャート 学習-運用
CoinPostで今最も読まれています

未だ残るビットコインフルノードの脆弱性とは

画像はShutterstockのライセンス許諾により使用

未だ残るBitcoinフルノードの脆弱性
2018年9月18日、Bitcoin Coreの脆弱性、CVE-2018-17144が報告され、フルノードのDoS(サービス拒否攻撃)を引き起こしうる問題が含まれていたことが判明している。ビットコインでは、そうした脆弱性を持つノードはどれくらい放置されているのだろうか。その詳細を調査した。

脆弱なノードはどれくらいあるのか? その脆弱性とは

ビットコインでは、脆弱性を持つノードはどれくらい放置されているのだろうか。この点について、有名な Bitcoin Core 開発者であるLuke Dashjr氏が分析結果を公開している。

記事執筆時点(5/11)で、たった32.75%のフルノードがアップデート済みとなっており、全体としては70%近くが脆弱という結果が示されている。なぜこのような結果になっており、脆弱性が残っているにもかかわらず、注意喚起されていないのだろうか。

bitnodeによれば、現時点で全世界におけるフルノードは 9540前後となっている。このうち大多数はアップデート済みのバージョンであり、このウェブサイトによれば、70%以上が比較的新しいバージョン(0.16.3以降)で動作していることがわかる。

しかし、カナダのBullBitcoinのCEOを務めるFrancis Pouliot氏によれば、フルノードは全体で10万に達するという。あくまで観測されている範囲で「リッスン」しているノードだけがカウントされる傾向にあり、その数が約1万と報告されている、というのだ。

thenextwebの記事において、Dashjr氏も「リッスンしているというのは、つまりポートがオープンになっているかどうか、というようなことだ。リッスンしているノードだけを見ても、あまり意味がある情報とは言えない。そこには、リッスンしていないノードが含まれていないからだ」と述べている。

Bitcoinを脅かす脆弱性「CVE-2018-17144」とは?

2018年9月18日、Bitcoin Coreの脆弱性、「CVE-2018-17144」が報告された。フルノードのDoS(サービス拒否攻撃)を引き起こしうる問題が含まれていたためだ。技術的には、以下のような問題があったとアナウンスされている。

Bitcoin Core 0.14では、2012年に追加された1つのトランザクション内に同じインプットを2回使用していないかチェックする初期のリレー前ブロックの検証中に、コストのかかるチェックを回避する最適化が追加された。

UTXOの更新ロジックはそのような条件が0.14で違反されていないことをチェックするのに十分な知識を持っているが、完全なエラー処理ではなくサニティチェックアサーションでのみ行う(ただし0.8以前このケースを2回完全に処理した)。

したがって、Bitcoin Core 0.14.Xでは、ブロック内の単一のトランザクション内でトランザクションアウトプットを二重使用しようとすると、報告されていたようにアサーションエラーとクラッシュが発生する。

Bitcoin Core 0.15では、未使用のトランザクションアウトプットの追跡を簡略化し、リソース枯渇攻撃への脆弱性を修正するための、より大きな再設計の一環としてアサーションが僅かに変更された。アウトプットが未使用から使用済みにマークされたか検証する代わりに、存在するかどうか検証するだけになった。

したがって、Bitcoin Core 0.15.X, 0.16.0, 0.16.1および0.16.2では、使用されているアウトプットを同じブロック内に作成されたブロック内の単一のトランザクション内で二重使用しようとすると、同じアサーションエラーが発生する(0.16.3のパッチに含まれているテストケースに存在する)。

ただし、前のブロックで二重使用されたアウトプットが作成された場合でも、エントリーはDIRTYフラグがセットされたままCCoin mapに残っており、使用済みとマークされているため、アサーションは発生しない。これによりマイナーがBitcoinの供給量を増やすことが可能になり、増やした値で二重使用する可能性がある。

問題となるのは、9/20に開示された「0.15」における問題だった。簡単に言えば、条件を満たすことでコインを増殖させることができるというものだ。

実際、YentenやBitzenyといったビットコインからフォークしたコインでは対応が遅れたため、攻撃者が脆弱性を利用してコインを増殖させるというインシデントが発生してしまった。

この脆弱性はBitcoin Coreバージョン 0.16.3および 0.17.0rc4で修正されており、公式アナウンスによれば、過半数以上のフルノードが脆弱性に対応済みだと考えられてきた。しかし、詳しく調査してみると、古いバージョンのノードが多数放置されている実態が浮かび上がってきた。

くすぶり続けるリスク

脆弱なフルノードが多数残っているということは、時価総額が最も高いビットコインでさえ、攻撃のリスクを抱えているということだ。ただし、攻撃が即座に可能だ、というわけではない。

前述のYentenやBitzenyとは異なり、ビットコインのハッシュレートは非常に高い。したがって、一部のフルノードをDoS攻撃でクラッシュさせたとしても、51%攻撃を成功させるためのハードルは高いままだろう。

また、増殖に関しても同様だ。0.15など一部のバージョンでのみ動作するため、大多数のハッシュレートを管理するマイナープールなどが最新バージョンを使っている限り、起こりえないと言っていい。

もし読者の方々にフルノードをお持ちの方がいたら、バージョンを忘れていないか、確認して頂きたいと願うばかりだ。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAO では被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/04 金曜日
17:43
マックハウス、仮想通貨事業でゼロフィールドと基本契約
アパレル大手マックハウスが暗号資産事業に参入。国内マイニングシェア1位のゼロフィールドと基本契約を締結し、ビットコイン購入とマイニングの両輪戦略で収益多様化を目指す。
17:11
SMBCグループ、事業共創施設「HOOPSLINK」を丸の内に開設 Web3や生成AIの活用を目指す
SMBCグループが事業共創施設「HOOPSLINK」を丸の内に開設。Web3などを活用し、スタートアップから大企業まで多様なパートナーと新事業を創出。
15:08
みんなの銀行、ソラナ基盤のステーブルコイン事業化に向け共同検討を開始
みんなの銀行がソラナ(SOL)基盤のステーブルコインとweb3ウォレットの事業化に向け共同検討を開始。Solana Japan、Fireblocks、TISの3社と協業し、新たな金融体験の創出を目指す。
13:50
米上場アンバー・インターナショナル、約37億円調達で仮想通貨準備金戦略を加速
米上場のアンバー・インターナショナルが機関投資家から2550万ドルを調達し、1億ドルの仮想通貨リザーブ戦略を強化。パンテラ・キャピタルなど著名投資家が参加。
13:00
米ストラテジー社に集団訴訟 ビットコイン保有リスクを軽視と主張
米国でストラテジー社に対する集団訴訟が提起された。ビットコイン投資戦略を過大評価しリスクを軽視したと主張している。新会計規則適用後の損失計上が争点の一つになっている。
12:55
メタプラネット支援コンソーシアム、タイ上場企業買収でビットコイン戦略を東南アジアに拡大
メタプラネット支援者らが筆記るコンソーシアムがタイ上場企業DV8の買収計画を発表した。日本で成功したメタプラネットのビットコイントレジャリー戦略をタイで再現し、さらに東南アジアに展開する第一歩として注目される。
12:36
オルタナ信託、BOOSTRY・ALTERNAと連携しデジタル証券の管理体制を強化
デジタル証券特化の「オルタナ信託」設立。BOOSTRYとALTERNAが協業を深化し、STの取得から販売まで一貫した新たな枠組みを構築する。
11:35
米雇用統計好調でビットコイン一時11万ドル超、アーサー・ヘイズが下落リスクを警告する理由は?
米国6月雇用統計が予想を上回る14万7000人となり、ビットコインは一時11万500ドルまで上昇した。しかしBitMEX創業者アーサー・ヘイズ氏は、米財務省がステーブルコインを国債購入の受け皿として活用することで市場から流動性が奪われ、8月開催のジャクソンホール会議前に9万ドル水準へ下落すると予測した。
11:00
アルトコイン取引の増加傾向続く 仮想通貨OTCレポートが公開
Finery Marketsは、仮想通貨のOTC取引に関する2025年上半期のレポートを公開。ビットコインやイーサリアム、ステーブルコインの他にアルトコインの取引が増加傾向を継続していると指摘した。
10:35
「1兆ドル予測は楽観的すぎた」、 JPモルガン ステーブルコイン時価総額の2028年予測を下方修正=報道
JPモルガンはステーブルコイン市場の2028年予測を5000億ドルとし、他社の1-4兆ドル予測を否定。決済利用は6%に留まり、主用途は仮想通貨取引と指摘。
10:00
ビットコイン、クジラによる売却と機関投資家の需要が拮抗=報道
仮想通貨ビットコインの大口保有者が過去1年で50万BTCを売却する一方、機関投資家の需要増加により価格が膠着している。今後のビットコイン価格については様々な見解がみられる。
09:30
ロビンフッドCEO OpenAI株式トークン化を「革命の種」と表現も、提携否定で波紋広がる
ロビンフッドがOpenAI株式トークン化サービスを欧州で開始したが、OpenAIは提携を否定。テネフCEOは「トークン化革命」と強調するも、未上場株式の権利問題が浮き彫りに。
09:16
仮想通貨SEI、国内取引所OKJに新規上場へ
国内暗号資産取引所OKJが2025年7月8日からセイ(SEI)の取扱いを開始。ゴールドマンサックス・Robinhood出身者が開発した高速ブロックチェーンで、米国でETF申請も話題。入出庫は7月8日、売買は7月11日17時開始予定。
09:00
ビットコイン今年4度目11万ドル超え、株価相関強まり最高値更新も視野に|仮想NISHI
仮想通貨ビットコインは3日に今年4度目となる一時11万ドル突破を記録した。7月3日から4日にかけて、トランプ政権の大きく美しい法案が可決されたことに加え、米雇用統計が底堅い推移を示したこと、さらにシンシア上院議員が暗号資産の減税法案を提出したことが追い風となった。
08:05
ETF購入減速でビットコイン価格上昇に陰りか、ETHは蓄積量が過去最高に=Cryptoquant分析
仮想通貨ビットコインETFとMSTR(ストラテジー)の購入は大幅減速、全体需要の縮小で価格上昇が鈍化。一方、イーサリアムは6月に蓄積アドレスが史上最高を記録、機関投資家による大量保有が続く。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
重要指標
一覧
新着指標
一覧