LayerX Newsletter for Tech (2019/08/12–08/18)

Issue #20

Aug 20, 2019

今週の注目トピック

Takahiro Hatajima(@th_sat)より

パブリックチェーンの相互運用性にむけた新たな取組みとして「tBTC」が発表されました。W3Cにおけるアイデンティティ・資格証明の取り組みや、Litecoinでみられた攻撃について紹介します。

Section1: PickUp

●Ethereum上でBitcoinをERC20トークン化して、BitcoinからEthereumへのトラストレスなブリッジを構築する「tBTC」

KeepとSummaが提携してクロスチェーンWGを立ち上げ、先日、Cosmosなど相互運用性に関心もつ参加者40名交えて初回のミーティングを行った。このWGは、パブリックチェーンにおけるクロスチェーンの相互運用性にフォーカスしたワーキンググループ。
そこで提案されたのは、「Ethereumベースシステム上でBitcoinを使うプロトコル」。その概要は、Bitcoinをデポジットし、tBTCがミントされるといったもの。まずBitcoinを複数署名ないとアンロックできないスマコンにデポジットし、カギ保有者が担保をロックアップする。すると、デポジットした人はEthereum互換トークン（ビットコインを表象するtBTC）を同量分うけとることができる。
tBTCの類似形として、WrappedBTC（WBTC）と比較すると、WBTCの欠点は、ミントにあたりサードパーティに依存し、WBTCを入手する一般的な方法は、取引所で交換することが必要な点がある。他の欠点としては、Bitcoinを格納するためにBitGoなどをトラストすることが必要。これに対して、tBTCの利点は、Bitcoinを使ってERC20をミントできるほか、そのBitcoinはデポジット者によってコントロールされるウォレットに格納される。
tBTCの実現にあたり、二つのチェーン間にトラストレスなペグを維持する上では、マルチフェデレーションやネイティブアセットボンディングなどの方法がとられているとのこと。
tBTCによって拓かれる利用シーンとして、ビットコインのセキュリティや分散性を損なわず、ビットコイン保有者がDaiのローンなどにアクセスできることなどが考えられる。このほか、Compound上でビットコインの金利収入を得たり、Uniswapでビットコイン取引したりといったことも可能になる。こうした形で、「ビットコインとEthereum DeFiとをつなぐユースケース」が新たに登場することによって、利便性ある金融サービスが生まれることに注目していきたい。

● Litecoin上の約300,000アドレスに対し、Dusting Attackが実行される

2019年8月10日、Binanceが公式Twitterにて、自社のLitecoinホルダー約50名分に対し、未知のアドレスから少額分（0.00000546 LTC）のLitecoinが送付される、Dusting攻撃が行われていたことを明らかにした。その後8月16日に、ドイツのブロックチェーンデータ企業のGlassnode社が、攻撃の被害対象がネットワーク全体で、合計294,582アドレスにまで拡大していたことを発表した。Binanceは、今回の攻撃がこちらのアドレスより行われているとの、公表を行った。
Dustとは、送金可能な最小単位に近しい、極めて少額のUTXOのことであり、Dusting攻撃とは、あるアドレスから別のアドレスに向けて、DustのUTXOを送金することを指す（通常の場合、不特定多数に向けて行われる）。過去には、同じUTXO系のブロックチェーンである、BitcoinやBitcoin Cashにおいても、実行が確認されている。Dusting攻撃は、詐欺やフィッシング、ウイルスやランサムウェアのような、直接的にユーザー資産強奪を狙う攻撃とは異なり、企業が自社の名前を広める目的で、大量のユーザーにDustを送金するケースもあるため、一概に攻撃とは断定できない曖昧な行為であるという点で、特徴的である。
Dusting攻撃では、攻撃者がDustをばら撒いたのち、ユーザーが送金トランザクションを生成した際に、そこにDustも含まれてしまうことで、ウォレットの持ち主のアドレスと紐付けて匿名性を下げることが可能となる。そのとき、現実世界における当該ウォレットの持ち主を、何らかの方法で推察することができた場合、その持ち主に対してピンポイントでフィッシングやハッキングを仕掛けることが可能になるため、間接的に危険性が高まることが予想される。このとき、攻撃者の送ってきたDustのUTXOをSpendしないことで、攻撃者に自身のウォレットにおける送金を検知されるリスクを、低減させることができる。
このとき、利用しているウォレットクライアントによって、送金時のUTXO使用ロジックが異なるため、Dustを受け取ってしまった場合は注意が必要である。例えば、Electrumウォレットでは、UTXOは受け取った順に使われる仕組みになっていると同時に、ウォレット内最小のUTXOも優先的に使う仕組みにもなっているため、Dustを受け取ってしまった場合、次の送金時にあわせて使われてしまう可能性が高い。特定のUTXOを消費できないようにする機能があるウォレットを利用すれば、上記のリスクを回避することも可能である。

●W3C、コミュニティグループを通じてDID・資格証明に関する動きが活発化

W3C内において、DID標準へむけた公式ワーキングループ組成にむけた提案・パブコメが提示されている。提案されているDecentralized Identifierワーキンググループのミッションは、DIDのURIスキームやデータモデルを標準化するもの。
また、W3CのCredentials Community Groupからは、DIDデータモデルのファイナルレポートが提示されているなど、DID・資格証明に関する動きがあることから、ここでDIDおよび資格証明（Credentials）についての動向を俯瞰しておく。なお、現在のステータスは、コミュニティグループによって発行されたものであり、W3C標準ではないことに留意。
従来のID管理は、中央機関（コーポレートディレクトリサービス、認証機関）などに基づくもの。これに対して、ブロックチェーンなど分散台帳の発展の中で、非中央集権的なID管理の機会が提供されつつある。特徴としては、「グローバルに一意で、公開鍵など暗号学的に証明可能」「ユーザ自身によるオーナーシップ管理が可能」といった点があるが、なかでも、個人・組織・デバイスなどを識別する上で暗号学的に検証可能な点が、UUIDなど従来のIDとの違いとして挙げられる。
なお、W3Cから、分散アイデンティティ(DID)入門がまとめられているので参考にされたい。これ以外に、DIDに関連するCRUD（Create・Read・Update・Delete）アクションがDIDユースケースとして整理されているほか、関連トピックとして、自己統治アイデンティティのプリンシプルが整理されている。
DIDはベースレイヤーであり、その上で、デジタル署名された電子的な資格証明を提供するのは、Verifiable Credentials（VC：検証可能な資格証明）のレイヤー。このVCにおいて、DIDは発行者やホルダーや検証者などを一意識別するのに使われる。
VCデータモデルによると、資格証明は日常生活の一部として、金融機関のアカウント情報や、年齢・学位・運転免許証の提示など各種情報・能力を提示する際に用いられる。昨今のようにインターネット上での活動が増えるほど、必要な資格証明情報を、即時に受け渡しすることができる必要が増している。加えて、各種アプリケーションが口座開設・就職申込・アカウントアクセスなどアクションを認証する上では、膨大なデータのフィルタリング・分析に依存していることから、そのデータは検証可能である必要がある。このような背景から、VCはDIDと紐づけた形で「デジタルに検証可能な資格情報」として管理するものとして位置付けられている。
物理世界における資格証明情報としては、
①資格証明対象を一位識別するのに関連する情報（顔写真、名前、識別番号）
②発行機関に関連する情報
③発行機関が示す情報（国籍、生年月日、運転可能車両種別）
④資格証明に付随する制約条件に関する情報（有効期限、利用条件）
などがあるが、VCはこれらに加えて、デジタル署名などの技術によって、従来の資格証明よりも信用度を高めている点が特徴。
主なユースケースとしては、以下にように多岐・異業種を横断したものになる。
①金融：KYC再利用、送金、アカウント閉鎖、新規サービストライ、在宅で新規銀行アカウント
②ヘルスケア：処方箋、オンライン薬局、保険請求、旅行中の疾病
③小売：届け先住所検証、成人むけ飲料販売
④教育：受験、転校、オンライン受講
⑤プロフェッショナル資格証明：医者、新規従業員、ジョブ申し込み
⑥リーガルアイデンティティ：運転免許、入国審査、海外旅行、難民
VCの使い方としては、まず、発行者が発行した証明書をうけて、証明データをレポジトリに格納する。証明ホルダーは検証者に対して行使する（共有することを選択した請求が開示する情報量はホルダーが制限できるほか、ホルダーは情報開示期間も制限できる）。これに対して、資格証明が発行者による真正なものであることを自動的に検証する。
アイデンティティ管理や資格証明においてデジタルな形で表現することが容易な一方、デジタルデータは収集／関連付けが可能なため、プライバシー保護とバランスをとることが重要。プライバシー情報のグラデーションとして、IDやカード番号のように一意識別がたやすいものから、名前・生年月日のように個人識別の材料となるもの、20歳以上であることといった匿名情報まで多岐におよぶため、ユースケースに応じて、提供される情報を使い分ける必要がある。たとえば情報を選択的に開示するほか、ゼロ知識証明（例：生年月日の共有なしに二十歳以上であることを証明）などが考えられている。
VCに関するライフサイクルモデルが整理されているなど、DIDやVCに関連したW3Cにおける検討はコミュニティグループによる活動を経て公式検討が提案されつつある段階にあり、今後、W3Cとしての標準化検討に進展がみられる可能性があることから、引き続き注視していきたい。