パスワードを忘れた? アカウント作成
11424847 story
お金

BGPハイジャックでビットコインの採掘結果を奪う攻撃、攻撃者は83,000ドル以上の利益を得る 7

ストーリー by hylom
狙われる仮想通貨 部門より
あるAnonymous Coward 曰く、

Dellのセキュリティ部門の研究者の分析によれば、あるハッカーがBGPハイジャック攻撃を使い、Bitcoinなどの仮想通貨マイニングプールへのトラフィックを偽プールに振り向けるという手法で8万3,000ドル以上の不正な利益を得たという(WIREDDell SecureWorks)。この攻撃は19以上のISPに影響を与えたそうだ、

この攻撃はわずか1分以内に完了してしまう上、大抵のユーザは一度行った設定を見直さないためなかなか発覚しないのだという。Dellの研究者は、こうした問題は、Bitcoinの新たな脆弱性となりうるだろう、としている。

この攻撃では、Bitcoinなどの採掘を行っているノードの接続先を攻撃者のネットワークにある「偽のコインプール」につなぎ替えることで、その採掘の結果得られたBitcoinを攻撃者のものにしてしまうという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年08月11日 17時08分 (#2654819)

    What was stolen was computational power of some miners. The bitcoins they already owned were not stolen.
    発掘者の不備を突かれた話ですね。取引所といいやられるのは外部で根幹はまだやられてないと

    • by Anonymous Coward

      まあ、そりゃそうでしょうね。それができるなら、8万ドルじゃ済まないんだから、誰かがとっくにやっているわけで。

      ただ、ビットコインがデフレで高騰すれば、全体に与える影響はそのままで8万ドルじゃ済まない被害にもなるのかな、とは考えてしまいますね。短期的には採掘者狙いも割に「合う」仕事になっていくのかも。

  • by Anonymous Coward on 2014年08月11日 18時10分 (#2654867)

    ネットの上を流れているのは機密情報や個人情報といった「売れば価値のある情報」だけではなく、
    価値そのものが流れる時代になったってことが良く分かる事件ですね。

    • by Anonymous Coward

      いかにも鋭い洞察をしましたというふうに書いてるけど、

      何を言ってるのかさっぱりわからない

      • by Anonymous Coward

        >「売れば価値のある情報」
        (他人にとって)価値があるから売れるんであって、
        「価値」を「カネ」に言い換えれば、まあまあわかるのでは?
        まあ電子マネーとかbitcoinよりずっと前から流れてますけど。

        • by Anonymous Coward

          決済情報ではなくて仮想貨幣そのものがネットワークを流れるようになったんだなー、
          という感慨は私も持ちました。
          決済情報のパケットをかっぱらっても自分の資産は増えない(増やすにはかっぱらった
          パケットを改ざんして再放流する必要がある)けれど、Bitcoinの場合はそれが成立して
          しまうわけで、だからこそBGPがターゲットになり得るというのはちょっと新鮮でした。

          • by taka2 (14791) on 2014年08月12日 12時22分 (#2655242) ホームページ 日記

            「マイニングプール」という仕組みについての、実装上の穴(セキュリティについての考慮不足)を突かれたのであって、
            ビットコインという仕組みに対しての攻撃ではないですね。そこのところを誤解しないようにしないと。

            マイニングプールというのは、
            ・ビットコインの採掘難易度が高くなってきたため、個人でまともに採掘できる見込みは薄くなってきた (採掘に計算量をつぎ込んでも、ビットコインを得られるかどうかは「オールオアナッシング」で、今ではナッシングな確率が非常に高すぎる)
            ・そこで、複数人が共同で採掘を行い、採掘結果得られたコインを、採掘貢献度で分配する、という採掘互助システムが現れました。それが「マイニングプール」
            というものです。後から出てきた仕組みでああり、本来のビットコイン取引とは別の存在です。

            ここで、
            ・各採掘者は、プールサーバからの指示で採掘し、結果をプールサーバに報告します。(そして、プールサーバは受け取った報告を集計することで貢献度を算出します)
            ので、中間者攻撃として、
            ・採掘者からの報告を偽プールサーバが受け取り、偽プールサーバが本物のプールサーバに報告する
            ようにすれば、採掘に対する貢献は全て、偽プールサーバのものになってしまうわけです。

            この場合、「プールへのアクセスのプロトコルを、中間者攻撃に耐えられるような認証技術を使っていれば良い」、ということで、
            マイニングプールの実装がセキュリティ的に弱かったということでしょう。

            親コメント
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...