ブロックチェーンを語る（19）：ビットコインウォレットのセキュリティリスク

現在、誰もがビットコインへの投機に熱心ですが、ビットコイン技術自体のセキュリティ問題に注意を払っている人はほとんどいません。現在使用しているビットコイン ウォレットには大きなリスクが潜んでいることをご存じないかもしれません。そこで、この記事を書いて警告することにしました。そうしないと、将来、数個、数十個、あるいはそれ以上のビットコインを失う可能性があります。

ビットコインはUTXOに基づいていることはわかっています。あなたがアリスで、ビットコイン アドレスを含むビットコイン ウォレットを持っていて、そのビットコイン アドレスには 10 BTC の残高がある UTXO が含まれているとします。ここで、10 BTC をボブに送金したい場合 (手数料は考慮しません)、生成されるトランザクションは非常にシンプルです (UTXO を入力として使用し、ボブのアドレスを出力として使用します)。以下を参照してください。

さて、状況は少し複雑になります。ボブに 5 BTC を転送するだけでよいので、トランザクションは少し複雑になります (1 つの入力は引き続き UTXO を参照し、2 つの出力のうち 1 つはボブのアドレスの 5 BTC で、もう 1 つは自分のアドレスの 5 BTC です)。

ここで問題が発生します。5 BTC は元のアドレスを使用して私に転送されるのでしょうか、それとも新しく作成されたアドレスを使用して転送されるのでしょうか?これはビットコインの標準ポリシーで、「アドレス変更」と呼ばれます。では、ビットコインがなぜこのようなポリシーを設定しているのかを見てみましょう。アドレス変更ポリシー以前の転送モデルは次のとおりでした。

残っている BTC は、送信元のアドレスに返送されます。ビットコインのブロックチェーンは公開検索可能であるため、A の支払い行動や資産状況を簡単に追跡でき、プライバシーはまったくありません。そこで、ビットコインはアドレス変更ポリシー（必須ではない）を導入し、新しいモデルでは次のように動作します。

残高転送ごとに新しいアドレスを作成します。実際、上図の C はユーザー A の別のアドレスです。

トランザクションの出力では、出力は順序付けられます (インデックス)。常にターゲット アドレスを最初に配置すると (インデックスは 0)、トランザクション動作の漏洩が発生します。プライバシーをさらに強化するために、これに基づいて shuffleOutputs 関数が追加され、トランザクション内の出力順序が乱され、ランダムに配置されます。このような転送を数回繰り返すと、A のトランザクション動作を追跡できなくなります。

これは完璧な解決策であり、広く使用されています。しかし、これはウォレットのセキュリティに大きなリスクをもたらします。これが今日の記事の主なポイントでもあります。

現在、ほとんどの人がビットコイン ウォレットを使用するための標準的な手順は次のとおりです (他のセキュリティ上の問題があるオンライン ウォレットと取引所については調べません)。

1. Bitcoinウォレットをダウンロードする（PCまたはモバイル）

2. ウォレットをバックアップする（ウォレット内の鍵）

3. さまざまな転送の入出金

ウォレットをバックアップしていたので安全だと考えていました。また、コンピューターが廃棄されたり、携帯電話が紛失したりしても、バックアップを使用して復元できます。はい、その通りです！ただし、これは転送操作を実行しない場合に限ります。送金を実行すると、ウォレットによって新しいアドレスが生成されますが、この新しいアドレスはバックアップに含まれない可能性があります。

ウォレットに 100 BTC があり、複数回送金して合計 50 BTC になったとします。ある日突然、携帯電話を紛失し（ウォレットは携帯電話の中に入っていました）、急いで新しい携帯電話を購入し、新しいウォレットをインストールし、バックアップを取り出して復元したところ、ウォレットの残高が 0 になっていることに気付きました。残りの 50 BTC があるアドレスのバックアップがないため、これは転送プロセス中に生成された新しいアドレスです。

以下は、著者がモバイルウォレットを使用して行った送金です。赤いボックス内のアドレスは新しく生成されたアドレスであり、作成者の最後のバックアップには含まれていません。

ここでそれが可能であると言うのは、現在ではさまざまなウォレットがさまざまなモデルを採用しているからです。現在のモードは、おおよそ次のカテゴリに分類されます。

1. 単一アドレスウォレット。これは、アドレス変更ソリューションを使用しない最も原始的なタイプのウォレットです。

2. ランダムアドレスプールウォレット。このタイプのウォレットは、最初に、たとえば 100 個のアドレスを含むアドレス プールをランダムに生成します (一部のウォレットでは、-keypool パラメータを使用してプール サイズを設定できます)。 100回の転送の範囲内では、新しいアドレスを生成する必要はありません。しかし、回数が増えると同じ問題が再び発生します。

3. 階層型指定アドレスプールウォレット（HDウォレット）は、パスワードを通じてマスター秘密鍵を生成し、次にマスター秘密鍵を通じて複数のサブ秘密鍵を生成します。

4. 複数のモードをサポートするカスタマイズ可能なウォレット。

どうすれば解決できるでしょうか?

プライバシーを気にしない場合は（ほとんどの人はトランザクション動作の開示を気にせず、アドレス自体は匿名であるため、通貨のセキュリティをより気にします）、単一アドレスウォレットを使用できます。オンラインウォレットでも同様です。運営していたビットコイン決済プラットフォーム（bitbill.com）をシングルアドレスモード（若干拡張）に戻しました。私は bitcoinj を使用し、そのコア コードに次の変更を加えました。

 log.info("selection.gathered の長さ:"+selection.gathered.size());
(TransactionOutput出力:selection.gathered){
// アドレス変更の問題のため、Tom @2017/2/9 によって追加されました。
if(req.changeAddress==null){
試す{
req.changeAddress = output.getAddressFromP2PKHScript(org.bitcoinj.params.MainNetParams.get());
}catch(Exception ex){}//P2PKH ではない場合
log.info("Tom による req.changeAddress の修正:"+req.changeAddress);
}それ以外{
log.info("req.changeAddress は空ではありません:"+req.changeAddress);
}
}

Bitcoin ウォレットを使用するユーザーの場合、ウォレットの種類 (特に現在使用されている非 HD ウォレット) によって異なります。通常は、より多くのバックアップが必要になります。お金を送金しないか、送金後すぐにバックアップする必要があるかもしれないことを常に覚えておいてください。