Binanceが取引サービスを一時中断!Syscoin不正取引を受けて安全策を迅速に立てる

​Binance内でSyscoinの価格が超高騰

7月4日午前5時40分頃、Syscoin($SYS)が通常の226万倍にも登る96BTCで一時的に取引されるという異常事態を受けて、大手仮想通貨取引所Binance“Secure Asset Fund For Users (SAFU)” ​と呼ばれるユーザー向けの安全基金の創設を発表しました。Binanceによると、今回の不正取引はAPIユーザーによって起こされたものであり、内部リスク管理システムが発動したことによって防がれたと述べています。。

システムメンテナンスを起動した後に、Binanceは全ての取引を一時的に停止し、事態の究明を終えるまでは入出金等の全ての機能が使えません。(注.7月5日22時現在取引は再開しています。)今回の問題はユーザーのAPIキーによって起きたものだと推測されているため全てのAPIキーが削除され、ユーザーは新たに作成しなければなりません。(7月4日23時の段階でAPIキーの作成は可能になっています。)Syscoinは取引の90%がBinance上で行われているため、今回の機能停止によって大きな影響を及ぼしました。

Binanceの発表によると、全ての不正取引が起こる前の状態にロールバックし、7月の5日から14日にかけて取引手数料を無料にすることによって悪影響を受けたユーザーへの補填を行うようです。今回被害を受けなかったユーザーもBNBの形で70%のリベートを受け取ることができます。(リベートには7月14日の終値を使用して配布量を計算するようです。)

そして同取引所は「全てのユーザーの利益を守る」ためにSAFUを設立する予定で、以下のような詳細を述べています。

2018年7月14日から、全ての取引手数料のうちの10%をSAFUに配分し、ユーザーの資金を保護します。そしてこのファンドはコールドウォレットに保管する予定です。

しかしBinanceはこうしたアップデートが完了してユーザーの保護体制が整い、爆発的な成長を遂げると、同時に新たな課題も出てくるだろうと指摘しています。そしてこれらの課題を対処するために、ポストリードやコミュニティコメントなどを積極的に歓迎しています。​

様々なアナリストからの分析によると、今回のSyscoinの不正取引は偶然起こったものではないとの見解があります。というのも、かねてから犯罪集団がAPIキーへのアクセス権を持つ第三者の取引ボットを通じて市場の操作をしようと試みていた可能性があるからです。取引ボットに不正アクセスすることによって、犯罪集団は様々なアカウントを利用してSYSを汲み出し、意図的に価格を膨らませて売却したと考えられます。

そしてこのサイバーアタックはBinanceネットワークやSyscoinのブロックチェーンもハッキングもされない、第三者によるハッキングであると解釈できます。ハッカーがBinance内の資金を引き出したのかは明らかになっていませんが、ロールバックを行うために盗難被害を阻止できるのではないかとも考えられます。

Binanceはセキュリティ強化を図る

この事件を受けてBinanceは定期的に使用していないAPIキーサードパーティのサービスプロバイダーとのキーへのアクセスを共有しない場合にはAPIを作成しないようにユーザーに警告しました。さらにセキュリティーを強化するために、ユーザーには「IPホワイトリスト」という機能を搭載して、第三者ではないユーザー自身がAPIキーにアクセスしていることを確証付けるようにしています。

ところがBinanceがこのように今後起こりうる悪意のある攻撃への防止策を立てるのは今回が初めてではありません。Binanceでは今年3月にVIAがハッキング被害にあって価格が70倍に高騰する似たような事件が起こっており、その際にも取引サービスを停止して迅速に対応しました。

VIAが狙われた際は、ハッカーはフィッシングアカウントを使って盗んだVIAをBTCに払い戻した後に直ぐに送金したようです。この不規則な取引履歴をBinanceのアラートシステムが感知して停止させてハッカーのアカウントのコインが徴収されたため、結果的には犯人が被害に遭うような結末になりました。

コインオタクの見解

​Binanceのハッキング被害ということで多くの仮想通貨ユーザーから心配の声が上がりそうなニュースですが、当社はTwitterにて「全てのファンドは安全である」と報じています。

その一方でハッキング被害が今回が初めてではないことから、安全性を不安視する声もあります。

とは言っても事件の本質は第三者APIキーの使用に問題があったことにあり、Binanceやブロックチェーンの安全性の問題とは少しずれている点もあります。Binanceがこのような事件を2度と起こさないようにシステムを整えるのも重要ですが、それと同時にユーザーはAPIキーを安全に管理するのも非常に大事な対策です。