スローミストのアナリストは、1日あたり37億ドルの取引量を誇る取引所の脆弱性に警鐘を鳴らしている。

ブロックチェーンセキュリティ企業SlowMistは、それぞれのプラットフォーム上の資金セキュリティに影響を及ぼす重大な脆弱性がdentされた2つの暗号通貨取引所を非難した。 

Evilcosという偽名を使うSlowMistの創設者は、反応がないことに不満を表明した。 

「無名の取引所は本当に信頼できない」と彼はXに書いた。「当社のセキュリティチームは2つの取引所に深刻な脆弱性（資金のセキュリティに直接影響する）を発見したが、誰とも連絡が取れず、公に言及しても反応がなかった」

Evilcos によれば、問題の取引所は1日の取引量が非常に多く、1つの取引所は24時間の取引量が37億ドル、もう1つの取引所は約2億4000万ドルを扱っている 。

情報開示の試みは拒否された

スローミストは、セイシェル登録の Azbit とトルコの取引所 ICRYPEX Global 、それぞれ12月16日と17日にセキュリティ通知を発行した。同社はまた、責任ある情報開示の標準的な慣行に従い、ダイレクトメッセージと公開投稿を通じて両プラットフォームへの連絡を試みたものの、返答はなかったと主張している。

2018年に設立され、欧州連合の2カ国で仮想資産サービスプロバイダーのライセンスを保有するICRYPEXは、30カ国以上で数百万人のユーザーにサービスを提供していると報告している。

Azbitは2019年後半に設立され、セーシェルで事業を展開していますが、今年初め、 セーシェルの規制当局 は「同社は2024年仮想資産サービスプロバイダー法に基づく事業許可を現在も過去にも取得しておらず、単に国際事業会社法に基づいて設立された国際事業会社（IBC）である」と述べています。

連絡が取れなかったため、SlowMist は解決前に脆弱性の発見を公表するという異例の措置を取った。これは少々心配だが、各取引所がすでにその問題に取り組んでいると推測できる。 

しかし、SlowMist の調査結果を公表したり認めたりすることは、顧客を落ち着かせるのに大いに役立つだろう。

業界全体のセキュリティ上の懸念

このdent 、暗号通貨業界全体におけるセキュリティ上の課題が根強く残る中で発生しました。SlowMistの2024年年次セキュリティレポートには、20億1,300万ドルを超える損失をもたらした410件のセキュリティdentが記録されています。

サイバーセキュリティ企業 CertiKは に次いで種類別の損失リストで2位になったと発表したDeFi。

ベストプラクティスでは、暗号通貨開発者が、安全な通信のための長期公開鍵を含むセキュリティ問題を報告するための連絡先を確立することが推奨されています。

取引所は手を差し伸べるでしょうか?

SlowMist が連絡を取ったものの何の反応も得られなかったという経験は、珍しいことではないものの、かなりのユーザー ベースを持つ確立された取引所でも、重要なセキュリティ情報を受け取るための適切なチャネルが不足している可能性があることを示しています。

これにより、暗号通貨取引所が脆弱性の開示に迅速に対応できる準備があるかどうかという疑問も生じます。

SlowMistは、 Binance、OKX、HTX、Crypto.comなどの主要な取引所と連携し、セキュリティ評価の信頼性を高め、発見されたギャップを埋めています。

先月、 Cryptopolitan 、 SlowMist社が主導した調査により、DeepSeekとQwenの大規模言語モデルアーキテクチャに基づいて構築されたオープンソースの暗号通貨先物取引システムであるNOFX AIの脆弱性が明らかになり、問題の解決方法に関する提言も共有されたと報じた。 

責任ある情報開示に関する業界ガイドラインでは、通常、影響を受けた当事者は最初の連絡から2営業日以内に回答することが推奨されています。複数回の連絡にもかかわらず回答が得られない場合、セキュリティ研究者は透明性を確保するために、特に資金が絡む場合には、問題の公開を決定づけることがよくあります。

本稿の執筆時点では、ICRYPEX も Azbit もセキュリティ通知に応答しておらず、脆弱性に関して公式声明も発表していません。