1月17日午前7時前後、イーサリアム財団が今週17日に予定されていた大型アップデート、コンスタンティノープルにおける脆弱性が発覚したため、延期を発表しました。
[SECURITY ALERT] #Constantinople upgrade is temporarily postponed out of caution following a consensus decision by #Ethereum developers, security professionals and other community members. More information and instructions are below. https://t.co/p2znO8HGxf
— Ethereum (@ethereum) January 15, 2019
仮想通貨イーサリアム(ETH)財団は、公式Twitterで、日本時間17日に予定されていたイーサリアムの大型ハードフォーク(機能更新を目的とした仕様変更)「コンスタンティノープル」を延期すると発表した。
スマートコントラクト監査団体のChainSecurityが公開したブログによれば、コンスタンティノープルを行うと、特定のネットワーク上では今までより安いガス代(取引手数料)にすることができる一方、副作用として「リエントランシ攻撃」と呼ばれるスマートコントラクト(契約自動化)への攻撃を可能にしてしまうという。同団体が脆弱性について指摘したことを受け、イーサリアム財団は、開発者、セキュリティ専門家、その他のコミュニティメンバーの合意により、延期することを決意したようだ。
リエントランシ攻撃とは?
スマートコントラクト(契約自動化)開発中によく発生する脆弱性の事を言う。
通常だと一度実行すると中断なく実行するが、ある条件下で途中で実行が中断して任意処理を実行可能になる。
ユーザーが保管する取引所にリエントランシ攻撃が行われると、取引所から仮想通貨送金が行われて取引所が残高を減少させる処理を実行する前に、繰り返し引き出し処理が行われて、自身の残高以上に送金を過度に繰り返してしまうことを言う。
通常はガスと呼ばれる手数料を払うことでバグが免れていたが、今回のアップデートすることによって取引手数料が低下することで、脆弱性を活用される可能性が出てきている。
このリエントリー攻撃は、以前イーサリアムが、イーサリアムクラッシックが誕生する原因となったTheDao事件(送金する瞬時にハッカーが割り込んできてトークンを奪う)と同様の手口で、こういった事件が起こらないように先手を打ったと言える。
脆弱性を発見した専門家のコメント
監査機関ChainSecurityのCTOのHubert Ritzdorf氏は、次のようにコメントしている。
「今までは少額のガスを払う事で便利な事はできたが、悪意のある事はできなかった。しかし今回複数の機能が安くなった事で、さらに少額のガスで不正行為も可能になってしまう。」
イーサリアムのアップデートは今後もあるのか?
EIP 1283(ガス計量法の変更)の導入よるガスコストの低下がリエントリー攻撃の原因であるため、EIP1283は導入されない可能性が高くなってきた。
でも、「導入にはまだまだ時間がかかるので、それまでの移行プロセスがスムーズになるようにいろいろ調整する。」
と言っているので、アップデートはたびたび行われると思われます。
今回の大型アップデートによる価格上昇を期待していた投資家が多かったため、価格は急落しているが、最終的に大型アップデートは必ず必要となるため、こういった価格乱高下する可能性は高い。
