自律分散型投資ファンド「The DAO」が取引基盤とするイーサリアムベースのブロックチェーンがハッキングを受け、日本時間6月17日午後にThe DAOのアカウントから仮想通貨イーサリアム(ETH)が流出した。一時、The DAOが50%以上暴落、ETHも連動して下落するなど混乱したが、17日24時現在、Slock.it(The DAOの発案元)やThe Ethereum Foundation(ETHの運営元)の対応により、事態は概ね収束したようだ。
The DAOは、ブロックチェーンを使って、ファンドマネージャーなしに投資先の選定、配当の分配を行う非中央集権型の投資ファンドだ。クラウドファンディングで150億円規模の資金を調達し、5月にローンチした。The DAOが発行するDAOトークンを購入すると、そのお金がThe DAOのファンド資金としてプールされる。DAOトークンは、株式としての機能と投票権を併せ持ち、保有数に応じて、投資先や利益分配などに関する「提案」への投票権が与えられる仕組みだ。
The DAOの取引はイーサリアムのスマートコントラクトの仕組みを基盤としており、DAOトークンの購入はETHで行う。今回のハッキングは、イーサリアム発案者のVitalik Buterin氏のブログによれば、The DAOが記述したスマートコントラクトの脆弱性をついたもの。具体的には、DAOトークンを親通貨と子通貨に分割するSplit関数に、再帰的に呼び出せるUnchecked-Sendと呼ばれるバグがあり、攻撃者はこの脆弱性を悪用して一度の取引で、何度も再帰的に実行させる意図しないトランザクションを発行、資産を特定のアカウントに移動した。
結論から言うと、この攻撃は成功せず、攻撃者が移動した資金は全額取り戻せる見込みだ。イーサリアムのスマートコントラクトには27日間の預託期間があり、その間に被害にあったアカウントの特定とソフトウェアに対する対応策によって、流出した資金を凍結し、被害アカウントへ返金することができる。
The Ethereum Foundationの公式発表によれば、コミュニティの迅速な調査により、すでに資金流出のあったアカウントが特定されている。またコミュニティは、流出資金の凍結と、被害アカウントへ返金するために、「ソフトフォーク」と「ハードフォーク」と呼ばれる方法を提案している。ソフトフォークは、ハッキングが発生した以後の対象ブロックをソフトウェアパッチによって無効化し、攻撃者に移動した資金を凍結させる案。ハードフォークは、被害アカウントに対して流出したDAO資金を返金するスマートコントラクトを投入する案だ。このため、開発者のVitalik Buterin氏は、パッチソフトウェアの開発後、各マイナーやマイナープール、取引所は速やかに修正パッチが含まれたEthereumソフトウェアをダウンロードし、引き続きネットワーク運用を行ってほしいと述べている。
Vitalik Buterin氏はブログ上で、「今回のバグはDAOの問題で、イーサリアムの安全性に影響はない」と述べ、DAOとイーサリアムのユーザーは落ち着くよう、また、ブロックのロールバックは発生しないため取引所は安心して取引を再開するよう呼びかけた。
加えてVitalik Buterin氏は、「スマートコントラクトの開発を行う上では、コミュニティで話題にされている開発プラクティスや脆弱性監査ツール、多機能なIDEなどを活用し、慎重に開発してほしい」と注意喚起し、またコミュニティにおいては脆弱性対策ツールの開発などがわれわれの新しい課題であると述べている。
