「秘密鍵暗号化していた」 ビットポイント、“二重のセキュリティ対策”でも起きた仮想通貨不正流出
コメント
選択しているユーザー
ホットウォレットをマルチシグネチャにしていて、暗号化もしていたのに流出したとなると、考えられるのは、実際には暗号化のカギは盗まれておらず、サーバーへの不正侵入と送金プロセスの実行権のっとりを許してしまったという線が濃いだろうな。
この手の攻撃は、署名鍵を暗号化する暗号鍵(KEK)を、どう保管しているのかにも依存すると思うけど、要は、このKEKをロードするプロセスを担うプログラムの実行権限を握ってしまえば、どこに鍵を保管していようが関係なくなってしまうのがウィークポイントとなる。
仮想通貨交換業を行うときに、ホットウォレットを完全になくすことは困難だろうが、最小限、入金からコールドウォレットに移すまでの滞留分だけでよいはずで、それを総預かり量の5%以下にすることは可能だろう。
あとは、出金プロセスまですべて、コールドウォレット運用にすることで足りる。
手前みそながら、1000件以上の出金依頼一度に処理するような、業務用のマルチシグネチャ対応のコールドウォレットが欲しいなら、声をかけていただければ、デモンストレーションに伺いますので、よろしくお願いいたします。
注目のコメント
ポイントは秘密鍵の管理(サーバー管理含む)と思われますが、こうなるとホットウォレットは全部ダメみたいな話になり兼ねないですね。再度盛り上がってきたところというタイミング的な部分は確かにありますが、それよりも本質的な部分の詳細、知りたいです。