Mangoマーケットで170億円相当の仮想通貨「不正」流出...その原因と対策は?(明治大学 城正人さん)
今週は米国の金融政策を方向付けるFOMC(連邦公開市場委員会)を控えるなか、「利上げ幅の縮小検討か」というニュースをうけビットコインは上昇。しかし、円高に伴い、円建てのビットコイン価格は下落。残念ながら、今週は先週比マイナスという結果に終わってしまいました。
さて、今週は10月仮想通貨市場を騒がせた「Mangoマーケットのハッキング」についてその原因と対策について取り上げていきます。
仮想通貨へ投資するうえで、ハッキングを「ただ怖い」と恐れるのではなく、なぜ起きたのか、利用者はどの点に注意すべきか理解しておきたいですよね。
今回は事件の概要から原因、対策についてわかりやすく解説していきます!
●事件の概要
2022年10月12日、ソラナブロックチェーン上の分散型仮想通貨取引所の1つ「Mangoマーケット」で170億円相当にも及ぶ仮想通貨が(不正に)流出。
ハッカーの一員として推定されているアブラハム・アイゼンバーグ氏は「あくまで非常に収益性の高い取引戦略を取ったまでで違法性は無い」と主張したとのこと。
ハッカーは今後の捜査や資産凍結を一切行わないことを条件に、流出した170億円の資金のうち100億円を返金することを提案。
10月15日にはコミュニティの投票によって提案が承認され、執筆時点では利用者から流出した仮想通貨の返却の議論が粛々と進んでいます。
それでは、その手法について、わかりやすく解説しましょう。
●ハッキング手法
不正流出をわかりやすく3ステップに分けると以下のようなイメージ。
1. 巨額の買い注文を入れMangoトークンの価格を上昇
2. 価格が急上昇したMangoトークンを担保に資金借り入れ
3. 借り入れた資金を全てソラナチェーン外に逃避(資金洗浄)
1. トークンの価格を上昇
まず、攻撃者は先物、現物市場で1000万ドルを利用し、Mangoトークンの価格を上昇させます。実際0.03ドル付近で推移していたMangoトークンはおよそ0.91ドルまでの急上昇を見せました。
この時点で購入したMangoトークンの評価益はプラス3000%。現物で500万ドル分購入したMangoトークンは1.5億ドルの評価額まで上昇します。
2. トークン担保に資金の借り入れ
Mangoマーケットでは、Mangoトークンを担保に、資金を借り入れることができるサービスを提供しています。攻撃者はこのサービスを逆手に取り、評価額が急上昇したMangoトークンを全額担保に差し入れ、1.1億ドル(日本円で140億円)もの資金を借り入れます。
しかし、この担保はあくまで、攻撃者が大量の発注をかけて価格を一時的に上昇させたもの。担保として差し入れられたMangoトークンは、数分で元の価格へと戻ってしまいます。
こちらが当時の値動き(1分足チャート)です。数分間の間に急上昇、そして急下落しているのがわかりますね。
3. 資金の退避
こうして、虚像の担保をもとに多額の資金を借り入れることに成功した攻撃者は、犯行が運営チームに知られ、緊急措置として資金の移動をブロックされてしまう前に資金の退避を行いました。
日本で不正に入手したお金を国外に退避させ、捜査の目をかいくぐるといったイメージでよいでしょう。
●今後の対策は?
まず、今回の攻撃手法は資金さえあれば、理論上、誰でも実行可能なもので何度も警鐘が鳴らされていた手法です。正直、Mangoマーケットのセキュリティへの意識が低かった、という認識でよいでしょう。
仮想通貨を担保に資金を貸し出すという同様のサービスを提供する場合、担保としてイーサリアムやUSDCなどのステーブルコイン(価値の安定したコイン)のみを認めるなどして対策を施しています。
さらに、担保評価額を計算するうえで現在の価格を取得する必要がありますが、Mangoでは市場価格をそのまま参照・計算していました。
市場のデータを直接利用するのではなく、TWAP(ある一定期間の平均価格)を参照するなどの対策で、短時間の悪意ある値動きに左右されづらくなりセキュリティは向上したでしょう。
今回、利用者の預託資金は全額返金される見込みとのことですが、こうしたサービスを利用する際には、どのような仕組みになっているのか、しっかり調べることが求められます。
●まとめ
今回は大規模ハッキング事件「Mangoマーケット」について解説しました。リスクの高いと言われる仮想通貨への投資。自己責任の面が多いため、しっかり自分で仕組みを理解して投資したいですね!
●今週の取引
無し
保有資産
BTC 0.0002枚 現在1枚当たり2,844,000円 評価額は5,688円
保有現金 4,176円
前週からの損益 マイナス112円
10月21日現在 9864円
◆池田昇太のワンポイントアドバイス
Solanaブロックチェーンではまた資産の流出が発生しましたね。8月にも関連ウォレットで不正流出しているため、今後の評判に悪影響を及ぼす可能性があるのではないかと見ています。
今回の資産流出の経緯を見ていくと、設計を悪用されたことで発生したとわかりますので、他のブロックチェーン上でも同様の事件が発生しないよう、改善していくことが期待されそうです。
加えて、SNSを見ていると、設計を十分に理解せずに仮想通貨を推し進める人は数多くいますので、おっしゃる通り、自分でも仕組みを理解し、投資していかなければならないでしょう。
また、市場の動きについてですが、来週以降は11月3日にFOMC(米連邦公開市場委員会)、8日にアメリカ中間選挙、10日にCPI(米消費者物価指数)と重要な指標が続きます。株価に影響を及ぼすかもしれないため、気をつけて価格を見ていきたいですね。
2021年に引き続き、出場します! 投資対象として仮想通貨に興味を持つも、その技術の持つポテンシャルに惹かれDapp開発に着手。投資家としてだけでなく、開発者としての視点からの投資戦略も立てていきます!
Twitter: https://twitter.com/dennoah_jo
※取引をお休み(東京大学 迫嵩明さん)
前週からの損益 プラス・マイナスゼロ
10月21日現在 1万円
学生投資連合USIC代表
高校3年生の時に株式投資のおもしろさに目覚める。日本株、米国株、仮想通貨投資を行う。長期的に伸びる市場でビジネスを展開している企業に長期投資することをモットーとしており、テンバガーを虎視眈々と狙っている。 金融を学ぶ「おもしろさ」、投資を始める「意義」を多くの人に知ってほしいと切に願う。
学生投資連合USIC:https://www.usic2008.org/
◆◆アドバイザーのプロフィール
フリーランスのWebディレクター。金融系メディアを対象に執筆やディレクター業務に従事。投資歴7年。FXと仮想通貨をメインにトレードしています。ファンダメンタル分析よりかはテクニカル分析を好む。最近はNFT(非代替性トークン)の詐欺事例、法的問題について関心あり。
大学対抗戦「暗号資産バトル」競技ルール
・元本は1万円。
・通貨の選定は自由。ただし、国内の事業者で買える暗号資産に限定。
・レバレッジはかけられません。
・20%を超えて下げた場合は、強制的に取引を停止(ロスカット)とする。
・元本割れは1回まで。2回、資産を失った場合は、その時点でリタイアとする。
・運用期間は6か月。最終週時点での資産増減額で順位を決める。
学生投資連合USIC
「学生の金融リテラシー向上」を理念に全国26大学1000人以上で構成。企業団体・官公庁との勉強会の開催、IRコンテストの運営、金融情報誌「SPOCK」を発行する。
http://usic2008.com/