今月は経済学の視点に立ち戻ってビットコインを考える予定でしたが、個人的に気になる話題があったので、共有させていただきます。
一つはレンディング関連、もう一つはアメリカでの規制強化の動きとその背後で確実に進むビットコインの普及状況についてです。
***************
2021/07/16付けコラム「ビットコインを運用して収益を得る」で、レンディング事業者としてBlockFiなどの中央集権型サービスとともに、非中央集権型のP2PプラットフォームとしてHodl Hodlを紹介しました。BlockFiで規制リスクが顕在化したことは前回2021/07/23付けコラムでお伝えしましたが、今週はHodl Hodlでトラブル発生。改めて、この分野の未熟さが露呈した形です。
Hodl Hodlはラトビア共和国のスタートアップで、2018年からビットコインに特化したP2P取引所を運営しています。2020年にはレンディングに参入し、ビットコインを担保にステーブルコインを借りたい人と、ステーブルコインを貸して金利を稼ぎたい人を仲介するP2Pプラットフォーム(lend.hodlhodl.com)をローンチしました。
今回問題となったのは、借り手が担保として差し出すビットコインをロックするアドレスの秘密鍵です。このアドレスは2-of-3のマルチシグエスクロー(P2SH)アドレスで、3つの秘密鍵は借り手、貸し手、Hodl Hodlが保有します。
Hodl Hodlのプラットフォームで貸借契約が成立すると、借り手と貸し手はそれぞれペイメントパスワードと呼ばれるものを設定するよう求められます。上記マルチシグの秘密鍵は、それぞれが設定したペイメントパスワードとクライアント端末で生成した乱数を使って作られます。作成された秘密鍵はペイメントパスワードで暗号化され、Hodl Hodlのサーバーに送信、保存されます。
8月2日、Hodl Hodlはペイメントパスワードが弱いと総当たり攻撃で秘密鍵が割り出され、ビットコインが盗まれる危険性を認識し、該当する利用者に対して、貸借契約を2時間以内にクローズするよう要請するメールを送ります。メールに理由説明が一切なかったこと、Hodl Hodlから送信されたことを証明するPGP署名などが含まれていなかったことから、TwitterやTelegramではHodl Hodlがハッキングされたと騒ぎになり、メール返信やサイトアクセスを控えるよう警告するメッセージが飛び交います。Hodl HodlはTwitterの公式アカウントから、メールは本物で、利用者資産を守るために契約を一旦クローズする必要があると説明しますが、Twitterアカウントがハッキングされている可能性も否定できず、収拾がつきません。結局、Hodl HodlのCEOと面識のある著名ポッドキャスターやインフルエンサー数名が、CEOとビデオ通話をしてハッキングを受けた事実はないこと、メールは本物であることを確認したと述べる動画を公開するなどしてハッキング疑惑は晴れます。しかし、その間にも、利用者が契約クローズのアクションを取らなかった契約が強制清算されるなど混乱が続きました。
8月6日時点で、Hodl HodlはサイトやメールにPGP署名を追加した上で、情報開示が十分でなかったこと、情報発信方法の稚拙さが混乱を招いたことを謝罪していますが、そもそものリスクについての説明やプラットフォームの安全宣言にはまだ時間がかかるとしています。利用者からは、どうやってパスワードが弱いと判断したのか?、Hodl Hodlはパスワードにアクセスできるのか?、2-of-3マルチシグなのに強制清算の際にはHodl Hodlの一存で資金移動できるのか?、グローバルにサービス展開する事業者が時差も考慮せず、利用者に資産を守る猶予として2時間しか与えないなんてありえない、など最もな疑問、批判が寄せられていますが、まだ回答はありません。
Hodl Hodlはビットコインオンリーを掲げ、Baltic Honeybadgerというビットコインカンファレンスを年次開催し、経営陣がポッドキャストなどでサイファーパンク振りをアピールするなど、ビットコインコミュニティでの支持と信頼の確立に力を注いできました。今回の騒動でこれまでの企業努力が水の泡ともなりかねません。
ビットコイン事業に限らずですが、今回の教訓はトラブル発生時のアカウンタビリティと透明性の欠如は命取りになることを再認識し、トラブル時のコミュニケーション戦略をしっかり策定しておくことに尽きると思います。
利用者としての教訓は、取引所も含めビットコイン関連事業者の未熟さを常に意識して自衛策を講じつつ利用することでしょうか。
***************
2つ目の話題はアメリカでの規制強化の動きです。