最近、私はブロックチェーンのセキュリティがいかに脆弱であり得るかについて考えさせられる出来事を発見しました。確立されたプロジェクトでも、XRPレジャーは歴史的規模のハッキングの危機に瀕していましたが、チームの迅速な対応によりギリギリで回避されました。

すべては、セキュリティ監査会社のCantinaが、ネットワーク上でまもなく有効化されるバッチ修正(XLS-56)において重大な論理的誤りを検出したことから始まりました。問題は、バッチ取引内の署名の検証方法にありました。基本的に、検証ループに欠陥があり、重要なセキュリティチェックをスキップできる状態でした。これを悪用すれば、プライベートキーなしで資金を移動できた可能性があります。

興味深いのは、このケースにおいてレジャーの役割が極めて重要だったことです。メインネットで修正がまだ有効化されていなかったため、実際の資金は危険にさらされませんでした。Rippleのチームは、情報公開後すぐに行動を起こしました。バリデーターに警告を出し、3月3日に予定されていたアップデートに反対投票を促し、緊急パッチとしてRippled 3.1.1をリリースしました。

SpearbitのHari Mulackalは次のように要約しています：「もしこれが悪用されていたら、暗号通貨史上最大のドル盗難となり、約800億ドルが直接的に危険にさらされていたでしょう。つまり、ほぼ全てのXRPの時価総額に匹敵します。」

私が特に注目したのは、レジャーの役割とそのアーキテクチャが、強みにも脆弱性にもなり得るという点です。署名検証のロジックに誤りがあった場合、エコシステム全体が危険にさらされていた可能性があります。しかし同時に、開発チームがセキュリティを真剣に捉え、迅速に行動すれば、災害を未然に防げることも示しています。

Cantinaは、AI支援の監査システムのおかげで2月19日にこの問題を特定しました。もしそれがなければ、修正は問題なく有効化され、状況は全く異なっていたでしょう。これは、この分野において厳格なセキュリティ監査がいかに重要であるかを思い知らされる出来事です。