Bitcoin・クリプト・web3をめぐる今週のニューストピックを、①テクノロジー・②ビジネス・③規制まわり、で振り返る。
今週の注目トピックは、
Ledger Connect Kit へのサプライチェーン攻撃
Blue Matt、モバイル環境におけるノンカストディアルなLightningアプリケーション構築の難しさを解説
River、メッセージングアプリのテキストを介してBitcoinトランザクションを送ることができる「River Link」をローンチ
エルサルバドルのThe National Bitcoin Office (ONBTC)、Volcano Bondが規制当局承認を受けたとして、2024年1Qに発行予定である旨を発表
S&Pグローバル・レーティングス、Stablecoinの安定性評価を開始
Coinbase、機関投資家がデジタルアセットを作成・売買するスマートコントラクトを搭載したプラットフォーム「Project Diamond」を発表
バーゼル委、銀行の資本要件に関する暗号資産ルールとして、パーミッションレスチェーン上で発行されるトークン化証券やstablecoinを、他の暗号通貨と同様に高リスクに分類する旨を発表
米国財務会計基準審議会(FASB)、「企業がB/Sに保有する暗号資産に対して公正価値会計を使用可能とする」旨、暗号資産の開示基準の改善を発表
Section1: Technology
1.1. Bitcoin
1.1.1. L1
●OP_CATを再導入するBIPドラフトの提案
https://x.com/techmedia_think/status/1735511984572186760?s=20
●Blockstream、Bitcoin建ての投資ビークル「Blockstream ASIC (BASIC) Note」のシリーズ2をローンチへ
●Bitcoin Optech Newsletter #281| Liquidity Adsのグリーフィングの議論、Stratum v2マイニングプールのローンチなど
https://bitcoinops.org/ja/newsletters/2023/12/13/
●Inscriptionsについて、「データをコードとして難読化する(例:OP_FALSE OP_IFを使用する)ことによって、データキャリアのサイズ制限をバイパスすることができる」として、米NISTのNATIONAL VULNERABILITY DATABASEに掲載
https://nvd.nist.gov/vuln/detail/CVE-2023-50428
●Stratum V1のマイニングプロセス図解
https://x.com/BTCillustrated/status/1731744000833364407?s=20
1.1.2. L2:Lightning Network
●Blue Matt、モバイル環境におけるノンカストディアルなLightningアプリケーション構築の難しさを解説
カストディアル化はプロセスを簡素化する一方で、ユーザーのプライバシーや検閲耐性・自己主権を犠牲にすることを意味するため、多くのプロジェクトが、カストディアルからノンカストディアルのLightningアプリケーションの構築を図っている。
ノンカストディアルのLightningモバイルアプリケーションを構築する場合、開発者が直面する技術的課題として、「流動性」「ウェイクアップの受け取り」「ライブ・バックアップ」「プライバシー保護されたペイメントルーティング」および「プライバシー保護されたブロックフェッチ」などを挙げている。
「流動性」:資金を受け取るには、誰かが総額と手数料をカバーするのに十分なオンチェーンBitcoinをチャネルに持っていなければならない。
「ウェイクアップの受け取り」:モバイルユーザーが支払いを受け取るには、「オンライン」でなければならない。
「ライブ・バックアップ」:ユーザーがアプリケーションを再インストールしなければならなくなったりした場合、資金を取り戻すためには、デバイスに保存されているシードフレーズと最新のLightning stateのデータが必要になる。
「プライバシー保護されたペイメントルーティング」:支払いをルーティングする一般的な方法はサーバーを使用することだが、プライバシー上よくないため、Lightningグラフを完全にダウンロードし、プロービングによって流動性の履歴を構築する必要がある。
「プライバシー保護されたブロックフェッチ」:ウォレットが取引履歴・残高を見るためにブロックチェーンのデータをダウンロードする必要があるが、帯域幅の制約からモバイルでは現実的ではないため、サーバー/ElectrumやEsploraを使うのが一般的。
その上で、実現は可能であり、これらの障害に怯えてはいけない、と述べている。
https://lightningdevkit.org/blog/the-challenges-of-developing-non-custodial-lightning-on-mobile/
https://x.com/lightningdevkit/status/1735353093624144054?s=20
●River、メッセージングアプリのテキストを介してBitcoinトランザクションを送ることができる「River Link」をローンチ
従来、新規ユーザーへのBitcoinの送信には、公開アドレスの作成と交換が必要であり、技術的な知識がないユーザーにとっては面倒なプロセスであった。
River Linkは、テキストメッセージによるBitcoinのシームレスな送金を容易にし、Bitcoin取引に関連しがちな複雑さを解消する、分かりやすくユーザーフレンドリーな体験をユーザーに提供する。
ユーザーは技術的な理解度に関係なく、世界中のどこにいる誰にでもビットコインを簡単に送ることが可能になる。
https://bitcoinmagazine.com/business/river-link-launches-allowing-users-to-send-bitcoin-by-text
●オンチェーン手数料高騰でライトニングにも変化が / Taproot Assetsのエクスプローラー公開|Diamond Hands Magazine Vol.125
1.2. 他チェーン・要素技術
●Ledger、Ledger Connect Kitの悪意あるバージョンを特定し、削除した旨を発表
https://x.com/Ledger/status/1735291427100455293?s=20
●Ledger Connect Kit で検出されたサプライチェーン攻撃。NPMパッケージにウォレットを消耗させるペイロードを注入
https://x.com/blockaid_/status/1735275569586090221?s=20
●Ledgerへの攻撃内容の分析記事
経緯
Ledger Connect Kitがサプライチェーン攻撃を受け、$600,000が被害に遭った。
午後7時43分、DeFi資産管理プロトコルZapperのフロントエンドが乗っ取られたようだとの報告があがった。
午後8時30分、SushiのCTOが「追って通知があるまで、いかなるdAppにもアクセスしないように」とコメントし、次いでLedgerに不審なコードが含まれている可能性を指摘した。
午後8時56分、Revoke.cashが「Ledger Connect Kitライブラリと統合されたいくつかの暗号アプリケーションが侵害されたため、ウェブサイトを一時的に閉鎖した」ことを発表した。
午後9時31分には、Ledger社も「悪質なバージョンのLedger Connect Kitを特定し、削除した」と注意喚起した。
午後11時9分には、Ledger社の元従業員がフィッシング攻撃の被害にあったことが正式に確認された。
原因
SlowMistのセキュリティチームが関連コードを分析した結果、攻撃者が悪意のあるJavaScriptコードをLedger Connect Kitに埋め込んでいることがわかった。
Ledger社は、Ledgerウォレット自体は影響を受けておらず、むしろLedger Connect Kitライブラリを統合したアプリケーションに影響があるとしているが、SushiSwap、Zapperなど、多くのアプリケーションがLedger Connect Kitを使用しているため、影響の範囲は大きい。
影響
この攻撃では、攻撃者はアプリケーションと同じレベルの権限で任意のコードを実行できる。
例えば、攻撃者は対話なしにユーザーの資金を即座に流出させたり、ユーザーを欺くために多数のフィッシングリンクを配布したり、新しいアドレスに資産を転送するように仕向けて資産を損失させたりすることができてしまう。
対策
Ledgerは現在、Ledger Connect Kitの検証済み正規版であるバージョン1.1.8をリリースしており、適時アップグレードすることを勧めている。
CDNのアップデートが遅れる可能性があるため、Ledger Connect Kitを使用する前に24時間待つことが推奨されている。
考察
この事件は、サプライチェーンのセキュリティの脆弱性がもたらす深刻な結果を浮き彫りにしている。
悪意のあるソフトウェアやコードは、ソフトウェアサプライチェーンのさまざまな段階で埋め込まれる可能性があり、
これに成功すると、攻撃者はそれを使ってデジタルアセットや機密ユーザー情報を盗んだりできてしまう。
Section2: Business
2.1. アダプショントピック
●Coinbase、機関投資家がデジタルアセットを作成・売買するスマートコントラクトを搭載したプラットフォーム「Project Diamond」を発表。アブダビグローバル市場ADGMのRegLabサンドボックスに入る準備を進めている
Project Diamondは、Coinbaseの技術スタックとEthereumのレイヤー2ブロックチェーンであるBaseのパワーを活用して、デジタルネイティブ資産を作成・売買するプラットフォーム。
11月には、ADGM RegLabサンドボックスへの参加準備として、Project Diamond上での最初のデジタル債券の発行・流通に成功した。
Coinbase Asset Managementは、機関投資家が幅広いデジタルネイティブ資産を直接オンチェーンで作成・配布・管理できるようにすべく、Project Diamondを構築している。
初期のユースケースは米国外の登録機関ユーザーのみとなる。
2.2. 金融機関のデジタルアセットサービス
●S&Pグローバル・レーティングス、Stablecoinの安定性評価を開始。法定通貨と比較して安定した価値を維持する能力を評価するもの。
S&Pグローバル・レーティングは、その分析手法を応用して、ステーブルコインの安定性を1(非常に強い)から5(弱い)の5段階で評価する:
まず、信用リスク、市場価値リスク、カストディ・リスクを含む資産の質リスクを評価する。
第二に、過剰担保の要件や清算メカニズムが、これらのリスクをどの程度軽減できるかを分析する。
次に、ガバナンス、法規制の枠組み、償還可能性と流動性、テクノロジーとサードパーティの依存性、実績の5 つを考慮する。
8つの主要なステーブルコインの公開評価が含まれている
DAI、FDUSD、FRAX、GUSD、USDP、USDT、TUSD、USDC
Dai (DAI):4 (constrained)
First Digital USD (FDUSD):4 (constrained)
Frax (FRAX):5 (weak)
Gemini dollar (GUSD):2 (strong)
Pax Dollar (USDP):2 (strong)
Tether (USDT):4 (constrained)
TrueUSD (TUSD):5 (weak)
USD Coin (USDC):2 (strong)
2.3. 中銀デジタル通貨
●BIS米州代表部、リテールCBDCアーキテクチャのハイレベルな技術要件を概説するペーパーを発表
https://www.bis.org/publ/othp82.htm
Section3: Regulation
3.1. グローバル
●バーゼル銀行監督委員会(BCBS)、銀行の資本要件に関する暗号資産ルールとして、パーミッションレスチェーン上で発行されるトークン化証券やstablecoinを、他の暗号通貨と同様に高リスクに分類する旨のコンサルテーションペーパーを発表
バーゼル銀行監督委員会が、銀行による暗号資産へのエクスポージャーに関する基準の改正案に関するパブリックコンサルテーションを実施した。
この改正案では、Stablecoinの裏付けとなる準備資産の構成に関する基準が具体化され、銀行が安定化メカニズムについて十分な理解を持つためのデューデリジェンス要件が導入される。
暗号資産基準は、Stablecoinを含む暗号資産の銀行の保有に適用される資本要件を定めている。
この基準において、Stablecoinがグループ 1b カテゴリーに含まれるには、一連の条件を満たす必要がある。
グループ 1b カテゴリーに含まれることにより、ステーブルコインのエクスポージャーは既存の資本枠組みの要件に大きく従うことになる。
すべての条件を満たしていない場合、グループ 2 のカテゴリーに含まれ、保守的な資本処理の対象となる。
Stablecoinをグループ 1b カテゴリーに含めることができるかどうかを決定する分類条件としては、次の2つがある。
(i) Stablecoinの準備資産の適切な構成
(ii) 低リスクのStablecoinを確実に識別するために使用できる統計的テストがあるかどうか
委員会は、パーミッションレスブロックチェーンを使用する暗号資産によってもたらされるリスクが、グループ1に含めることを可能にするのに十分に軽減できるかどうかを検討するとしていた。
委員会はこの検討を完了し、パーミッションレスブロックチェーンの使用は許可されないと結論付けた。
最も重大なリスクの一部は、ネットワークが基本的な操作を実行するサードパーティへの依存に起因している。 銀行がこれらの第三者に対してデューデリジェンスや監視を実施したり、ネットワークの潜在的な混乱を防止したりする能力には限界があると指摘している。
https://www.ledgerinsights.com/basel-committee-crypto-stablecoins-high-risk/
https://www.bis.org/bcbs/publ/d567.htm
https://www.bis.org/bcbs/publ/d567.pdf
3.2. 米国
●米国財務会計基準審議会(FASB)、「企業がB/Sに保有する暗号資産に対して公正価値会計を使用可能とする」旨、暗号資産の開示基準の改善を発表
米国財務会計基準審議会(FASB)が、特定の暗号資産の会計処理と開示を改善することを目的とした会計基準アップデート(Accounting Standards Update:ASU)を公表した。
本ASUの改訂は、特定の暗号資産の会計処理を改善するものであり、企業はそれらの暗号資産を毎期公正価値で測定し、公正価値の変動を純損益で認識することを求めている。
また、重要な保有資産、契約上の売却制限、報告期間中の変動に関する開示を要求することにより、企業の暗号資産保有に関する投資家への情報提供の改善も図っている。
https://www.fasb.org/page/getarticle?uid=fasb_Media_Advisory_12-13-23
●米上院Elizabeth Warren議員、マネロン・麻薬密売・制裁逃れにおける暗号資産の使用を取り締まる、デジタル資産アンチマネロング法案への銀行委員会支援の連合を拡大する旨を発表
3.3. アジア太平洋ほか
●エルサルバドルのThe National Bitcoin Office (ONBTC)、Volcano Bondがデジタル資産委員会(CNAD)から規制当局承認を受けたとして、2024年1Qに発行予定である旨を発表
https://x.com/bitcoinofficesv/status/1734366450616336622?s=20
3.4. 日本
●令和6年度税制改正大綱
https://www.jimin.jp/news/policy/207233.html
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.