CoinCheck事件から時間が経ちました。
改めてこの日本で信用できる取引所はどこか?ということを考えるとQUOINEかなと思います。その理由について記事にしました。
はじめに
2018年1月26日
事件は起こった。
同日午前3時、数億枚のnem(xem)の出金が起こった。
同日12時、コインチェックからネムの入出金禁止のメールが届いた。
同日15時、コインチェックからネムの売買、リスクなども含む全通貨の入出金、トレードが禁止となった。
同日23時30分 コインチェック会見
一連の流れはこんな感じである。
私は当日、研究発表会とかいうお遊戯に付き合わされていて(めちゃんこ指摘されて泣きそうにはなったw)、精神疲労がすごい中、明らかにいつもと雰囲気が違うことをツイッターで感じた。
それでは、これまでに出ている事実確認とネムラー視点で見たセキュリティ関連の問題、そしてインターンでお世話になったQUONEとの徹底比較および優位性の検討をしていく。
何が起こった。コインチェック。
👉5億2300万枚(600億円相当)のxemが盗まれた。
⬆️でハッカーの動きを確認することができます。
仮想通貨、いやブロックチェーンの素晴らしいところは絶対にログは残るというところです。
残高を299万9999枚にしていることは、おそらく300万枚必要なSN(スーパーノード)
にしたかったのかもしれませんが、0.25枚足りません。
今、Nemのテレグラムで確認したところ、北朝鮮説浮上してます。
昔、北朝鮮のハッカー集団が仕掛けているという噂は聞いたことがありますが、これが本当ならかなりきついですね。
世界情勢も心配。
また、盗まれた経路だが、秘密鍵の漏洩か。
マルチシグしておけば、一本盗まれたところでもう数本ハッキングしないと突破できないのだが、まさか600億円預けるところが秘密鍵一本だけとは酷い。
ただ、あの和田社長の様子を見ていると心が苦しくなる。
👉nemだけ100%ホットウォレットで管理していた。コールドウォレットに移行予定だった。
これはあまりにも酷いです。私も初めてnemを買ったところがcoincheckでnanowalletに入れる際に、マルチシグのアイコンがなかったのを思い出しまして、ツイッターで確認したところマルチシグはやっていなかったと。
さらに、ホットウォレット。
悪いですけど、個人でもこんな管理の仕方しないと思います。
ここには憤りを感じます。
なんで??と。
そして、nem財団のロンさんも『救済ハードフォークはしない』とおっしゃっています。
コールドウォレットでマルチシグでハッキングされたら何かしらのバックアップはあったのかもしれませんが、あまりにも暗号通貨管理が甘いですよ、コインチェック。
あ、マルチシグってなんやねんw??
という方へ。
あまり、ここでは書きませんが、簡単にいうと、秘密鍵を何人かで数個所有してある一定数の署名が集まったら(設定できます)出金ができるというシステムです。Zaifはこれを採用していまして、Zaifから入金するときに初めて知りました。これが素晴らしいというか。セキュアになるのになぜ使わないのか?神経疑います。
と、言いたいところですが、やっぱり和田さんの会見を見ていると胸が痛くなります。
こちらまで涙が出てきました。
👉全て顧客のxem
盗まれた5億枚のネムは全て顧客のもだったそう
取引所に置いておくなとは一概に言えないというか、IT系の知識がない人が下手にウォレット作るよりかは取引所に置いて置いたほうがいいが、金融庁認可がない取引所だったことは間違いない。
顧客は悪くないと言いたいところだが、こればかりはなんとも言えないです。
ツイッターでもウォレットに入れといたほうが安全だとか色々意見が飛び交っています。
👉xem以外の通貨は無事
わいのリスク無事や〜〜〜〜
じゃない。
色々考えられるが、コインチェック側にリスク持ってかれそう。
自分の資産が助かるには(コインチェックはお小遣い程度しか入っていないがw)、どこかの企業が買収するくらいしか浮かばない。
幸い、ネムはウォレットなので無事であるが、なんとも言えない。
いらない通貨なんかない。
なんとも辛い。
ここがすごいぞ!QUOINEのセキュリティ対策
100%コールドウォレット
ホットウォレットとコールドウォレットの違い
ホットウォレット:walletも秘密鍵(盗まれたらおしまい)もオンライン上で管理する。入出金が早い。常にオンラインにいるので、ハッキングは可能。ましてやマルチシグしていないのはかなり危険。
コールドウォレット:秘密鍵をオフラインで管理する。秘密鍵が流出しない限りはハッキングできないようになっている。入出金が遅い。秘密鍵無くしたら終了。
QUOINEはコールドウォレットでさらに、人の目視も入れて徹底的に入出金の管理を行なっている。
テレグラムで、『なんで3日もかかるねん。ほんまはよしてよ』
みたいなことを言っていた人がいるがどうだろうか。
機会損失するか、全て失うか。
Coincheckは金融が初めてらしいが、QUOINEは金融の知識はある。というか、インターンに言ったとき、言われたのがうちの会社は仮想通貨の会社というよりかは金融の会社という感じの方が強いよと。
文句言っていた人は、もう一度考えてください。
出金する時になぜ時間がかかるか??
何回もチェックして全て確認して出金しているから、時間がかかる。
そして、もう今後QUOINEから出金しなくてもよくなると思いますよ。
すでにリップルは上場しましたし、nem/litecoin/ethereum classicの上場も待っています。
プライベートサーバー
BitflyerはMicrosoft Azureを使っていますが(今はわかりませんが、過去には絶対使っていた)、盗難被害が何件も出ています。
ちなみに、レンタルサーバーを使う短所は以下の通りになります
レンタルしたサーバーへのアクセスはインターネットを利用して行います。つまり、インターネットへ接続できる環境さえあれば、誰でもサーバーをレンタルする事が出来ます。
ISP が提供するメールや FTPサーバーへのアクセスと異なり、インタネットを利用してレンタルサーバーへ接続するため、常に盗聴、改ざんの危険性のリスクが高くなるという事を認識しておく必要があります。
と言うことは、サーバーをハッキングすれば色々データを盗めると言うことです。
プライベートサーバーと違い、管理は貸している側がするのでなんとも言えませんが、リスクは高いです。
プライベートサーバーの欠点は費用が高いことと、維持管理が大変と言う点が挙げられます。もちろん、プライベートサーバーでもハッキングされる可能性がありますが、レンタルに比べて誰でもアクセスできるわけではないので、リスク回避するに当たっては必要かなと思います。
QUOINEはプライベートサーバーを建てています。
徹底ぶりがすごいです。
API出金を禁止
APIの出金を禁止しています。
APIが難しいですよね〜。
要は、人の手でするのではなくプログラムを書いてそれで注文出したりします。
他のところはAPIで出金できたりします(先日のZaifの不正出金はAPIキーが漏れて出金されました)。
ほとんどのBOTを動かしている人は、サーバーにこのファイルをあげて動かしているのでまたサーバーを攻撃されるとそこに入っているキーが盗まれて、不正出金。と言う流れになります。
利便性より安全性を取っているQUOINEは素晴らしいと思います。
今週のQUOINE柏森社長の週間報告
弊社では、常にセキュリティと顧客資産の保護を最重要経営課題としてサービスを提供してきました。結果、今まで一度も盗難がおきておりません。
それは。ネットワークレベル、プロダクトレベル、オペレーションレベル全てにおいて何重にもセキュリティ対策しているからです。
お客様の中には、他の取引所・交換所でも売買されている方がいらっしゃると思いますが、今一度、他の取引所がどのような安全対策を実施しているか確認をしてみて下さい。既に訴訟になっているところもあります。
安心・安全を声高らかにうたっているところはありますが、弊社ほど安全対策に力をいれているところはありません。これは、大手やベンチャーだからということでなく、安全に対するDNAです。
実際に何を実行しているか皆様自身で確認する必要があります。
取引所だけに任せるのでなく、自分の資産は自分で守ることも重要です。
おお〜!
力強い言葉。
そして説得力のあるこれまでの実績は目を見張るものがありますね。
事が起きて、やっと気づくのは人間なので仕方がありませんが、本当にまともに使える国内取引所ってQUOINEXとBitbankの2社だけだと思います。
最後に
ツイッターでもあげましたが、QUOINEの栢森社長、日本人で唯一Blockchain connect conferenceに出席しています。
このカンファはリップルとかneo litecoinとかの関係者が発表したりしています。
右手から、OKex, Binance, Huobi, QUOINE, Krakenのトップたちです。
すごい。
栢森社長、凄い!
ますます、今後に期待です。
そして、あと10日くらい?でRockトークンのICOが始まります。
出資は決めています。
コメント