Ripple, ハプニング

JUSTCOINの撤退

0
Justcoinの撤退

28日の夜に筆者に以下のようなメールが届いた。

ノルウェーの仮想通貨取引所のJustcoinが仮想通貨ビジネスから撤退するというのだ。Justcoinは米ドル、ユーロ、ノルウェークローネ、ビットコイン、ライトコイン、リップル、ステラーを扱っていた。筆者も以前ステラーの取引を行った事があった。

Justcoinが撤退に追い込まれたきっかけは10月上旬にハッキングされたことである。ただ今回のケースがMt.Goxのケースと異なるのはハッキングから直接被害を受けたのはJustcoinだという点だ。JustcoinはUSD/BTCやBTC/XRPの交換サービスを提供していた。その組み合わせの内、リップル(XRP)とステラー(STR)間の取引に仕様上のやりとりに欠陥があったところを狙われた。問題となったのはtfPartialPaymentというものだ。

スポンサーリンク

支払いの際にSendMaxというパラメータ(選択的に設定する)がある。それを設定していた場合にその値を超える額を支払うときに使用するのがtfPartialPaymentである。普通にSendMaxを超える額を支払う取引をするとその取引は認証されず何も支払った事にはならないのだが、tfPartialPaymentフラグを立てて取引を行うと、SendMaxの上限を引き上げるのではなく、支払われる額をSendMaxまで引き下げるというものだ。名前の通り分割払いと思っていただくといいだろう。

しかし、tfPartialPaymentフラグを立てた場合、受け取り側が実際にPartialPaymentで受け取った額はDeliveredAmountに載せられ、普段使うAmountの項目には実際に受け取った額が表示される訳では無かったのだ。ただ、Justcoinでは他の通貨の取引の際にXRPのDeliveredAmountではなく、Amountを参照して取引を行っていた。そこをハッカーは狙って、tfPrtialPaymentフラグを利用してAmountでは1,000XRPだが、DeliveredAmountでは1XRPになるようにして、他の通貨からAmountを参照して交換する事で、実際には預け入れていない金額を引き出した訳だ。

ハッキング被害が判明した後に、以下のようなメールがJustcoinから届いた。

どうやらJustcoinが言うにはRippleとStellarの仕様書のドキュメントの更新が遅かったようである。また2ヶ月前にtfPartialPaymentの脆弱性に気づいていたにも関わらず、RippleやStellarを使用していた企業に対して警告などは無かったようである。今ではRippleの仕様書は更新されてtfPartialPaymentに関しての注意記述はされており、StellarはtfPartialPaymentの使用をやめている。今回の件の問題点はRippleのgatewayd(オープンソースなソフトウェア)と、公式仕様書、そしてJustcoinなどのクライアント側のシステム。それらの更新にギャップがあったことだ。9月にアメリカの銀行がRippleを取り入れる事を発表しており、その期待もあるので今回の件を踏まえてプロセスの改善をしてほしい。

スポンサーリンク

ちなみに筆者は引き出し損ねたことで0.6STRほどがJustcoinの口座に凍結されてしまった。(1円程度なので全く気にはしていないが・・)何より残念なのはJustcoinは取引所の中ではかなり期待していたため、撤退してしまう事が残念である。Justcoinはウォレットのセキュリティには気を配っており、Google認証による二重認証を使用していた。またメールによるユーザーに対する情報の公開や警告を即座に行った事には好感が持てた。それだけに仮想通貨の普及に貢献すると思っていたJustcoinが撤退してしまうのは仮想通貨業界にとってもダメージかも知れない。

 

BTC : 1Av3P7XBJjf5nNHaa1QDp76XGLtC6T3PLJ

LTC : LWuTZfUW9BjK3CZREdk3Y4ki12fCU5JE4m

MONA : MQx1pNvfCXuU2idsWW1xQMSRaQizAdHGTp

STR : gJ5AoP3iayUKLiEiGf87HSzQJdsKxz1Bq7

コメントを残す