2016年の暗号通貨分野のセキュリティ状況

クレイジー解説：2016年、ブロックチェーン技術の研究開発は飛躍的な進歩を続け、ハッカーの手法はより洗練されていった。これにより、The DAO などの大規模なハッカー攻撃が発生し、暗号通貨分野に大きな損失と警告が生じました。もちろん、こうしたヒューマンエラーを客観的に見る必要があります。最も重要なことは、彼らを批判することではなく、深く反省し、2017年にハッカーが何もできないようにするためのより良いセキュリティ対策を講じることです。

翻訳: Annie_Xu

Bitfinex、The DAO、Gatecoin などはすべて、ビットコインと暗号通貨の分野におけるセキュリティ上の脆弱性を反映しています。 2016年も業界企業は悪意のある攻撃に頻繁に襲われました。

今年は大企業へのハッキングが複数発生しており、悪意のある行為者が依然として暗号通貨のスタートアップ企業を脅かし、ブロックチェーン業界のユーザーや投資家を危険にさらしている可能性があることを証明しています。

スタートアップ企業や投資家が 2017 年に向けて準備を進める中、私たちは今年起きた最大の事件のいくつかを振り返り、2017 年はハッカーにとって不運が少ないことを願います。

2016年上半期: 集中型サービス攻撃

集中型サービス（大量の暗号通貨）は常にハッカーの攻撃対象となります。

また、この期間中に 3 つの暗号通貨取引所が受けた攻撃方法がまったく異なっていたことにも注目すべきです。一部の消費者は、集中型デジタル通貨保管のリスクから保護されることを望んでいますが、実際の状況は彼らを困難な立場に置きます。

たとえば、ShapeShift は内部者による攻撃を受け、多額の損失を被りました。一方、Gatecoin と Bitfinex は外部からの攻撃により資金を失いました (現在、消費者の資金を返還するために取り組んでいます)。

今年最大のハッキング事件、The DAOもあります。

3月に、分散型ベンチャーキャピタルファンドThe DAOは世界中のデジタル通貨投資家から約1億5000万ドルを調達した。

残念なことに、ハッカーはThe DAOコードを悪用して5000万ドル相当のイーサを盗み出し、スマートコントラクトと「コードは法律」という約束に挑戦しました。スマート コントラクトは単なるソフトウェアであり、論理的な脆弱性によって生じるセキュリティ上の欠陥を回避することはできないことを明確にする必要があります。

取引所にお金を預けるのと同じように、スマート コントラクトと分散型ソリューション、その仕組み、資金の保護方法について慎重に検討する必要があります。

2016年後半：個人が標的に

暗号通貨分野のサービスが発展し、セキュリティ基準が向上するにつれて、ハッカーは個人ユーザーなどのより簡単な標的を狙い始めています。

フォーブスは、ジェレッド・ケナ氏のようなビットコインに精通した専門家でさえもこの攻撃から逃れられなかったと報じた。

2016年後半、暗号通貨分野の人々の電話番号が盗まれました。ハッカーらはいわゆる「ソーシャルエンジニアリング」の手法を使って電話会社にリクエストを送り、技術サポートエンジニアに電話番号をハッカーらが管理する番号に切り替えるよう説得した。

テキストメッセージと電話番号は、Google、Facebook、一部の暗号通貨サービスなど、多くの日常的なサービスで一般的な認証メカニズムであるため、この行為は特に陰険です。

場合によっては、パスワードをリセットしたりアカウントにログインしたりするための唯一の要素が携帯電話になります。電話会社は可能な限り安価な労働力を使ってデジタル サービスを維持しており、その技術サポート エンジニアは必ずしもセキュリティ手順に従っているわけではありません。

ベストプラクティスは、電話番号を使用する可能性のあるすべてのサービスから携帯電話のバインドを解除することです。もう 1 つの最適な解決策は、個人アカウントにパスワードを設定し、SIM カードまたはオペレータを変更する前に、その場で実名検証を実行するように要求することです。もちろん、オペレーターが必ずしも安全な操作手順に従うとは限らないため、これは絶対確実ではありません。

ソーシャル エンジニアリングに関しては、Facebook、Twitter、LinkedIn など、個人の機密情報を保存するサービスを保護するように注意してください。

ハッカーがこの情報を収集し、それを使用して個人アカウントにアクセスする可能性があるためです。個人のセキュリティ問題に対する解決策を慎重に検討し、誰かがあなたの Facebook プロフィールを通じてあなたを標的にできるかどうかを判断してください。

また、複数のサイトで同じユーザー名とパスワードを再利用している場合は、変更することを検討することをお勧めします。すべての Web サイトにハードウェアまたはデバイスベースの 2 要素認証を実装します。

個人の秘密情報を盗むフィッシングサイトも存在します。ハッカーは、悪意のある Web サイトが常に Web 検索結果の上位に表示されるように、キーワード広告を購入し続けます。

2017年の見通し

2016 年はハッカーにとって素晴らしい年でしたが、2017 年は状況が好転する年になるかもしれません。

より安全な暗号通貨エコシステムを構築するには、個人アカウントと企業アカウントを保護するために、より注意を払い、高度な保護対策を講じる必要があります。

しかし、私たちの取り組みは十分ではありません。 2017 年には、業界がブロックチェーンのプライバシー保護技術と ID ソリューションの開発に多額の投資を行うと予想されます。