This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
クロスチェーンブリッジハッカー攻撃損失近20億ドル 安全リスクは依然高い
クロスチェーンブリッジ安全事件回顧:近20億ドル資産が影響を受けた
ブロックチェーンエコシステムには多くのパブリックチェーンが存在しますが、ほとんどのチェーンは主流の資産を欠いています。これらの資産を取得するために、多くのプロジェクトはイーサリアムなどの主要なパブリックチェーンから資産を移転するためにクロスチェーンブリッジに依存せざるを得ません。しかし、最近DeFi分野ではセキュリティ事故が頻発しており、クロスチェーンブリッジはその高額な資金の流動性と頻繁な操作により、ハッカー攻撃の人気の標的となっています。本記事では、過去に発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、教訓をまとめ、開発チームとユーザーに警戒を促すことを目的とします。
注目すべきは、実力があり、背景が良好なクロスチェーンブリッジプロジェクトが安全事故に遭遇した場合、資産を回収したり、補償を行ったりする能力が高いことです。したがって、ユーザーがクロスチェーンブリッジを選択する際には、実力のあるプロジェクトを優先的に考慮することがより安全かもしれません。
! クロスチェーンブリッジの歴史における上位10の攻撃のインベントリ:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました
1. ChainSwap:800万ドルの損失、トークンの再発行
2021年7月、ChainSwapはわずか9日間で2回のハッキング攻撃を受けました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃では800万ドルに達する損失があり、20以上のChainSwapを使用しているプロジェクトに影響を与えました。
事故の原因は、プロトコルが署名の有効性を厳密に検証できなかったことにあり、攻撃者は自ら生成した署名を使用して取引に署名できました。損失は主にプロジェクト側のガバナンストークンに関わるものであり、ChainSwapを含む複数のプロジェクトがスナップショットを実施し、新しいトークンを発行してトークン保有者と流動性提供者に補償することを選びました。
2. ポリネットワーク:6.1億ドルが盗まれ、最終的に全額回収
2021年8月10日、クロスチェーン相互運用プロトコルPoly Networkがハッキングを受け、イーサリアム、バイナンススマートチェーン、Polygonの3つのネットワークで合計約6.1億ドルの資産が失われました。
攻撃者はPoly Networkの契約権限管理ロジックの脆弱性を利用して、ターゲットチェーン上のバリデーターアドレスを成功裏に変更し、資産移転操作を制御しました。攻撃手法は巧妙でしたが、ハッカーは最終的にすべての資金を返還しました。Poly Networkはその後、これを「ホワイトハット」ハッカーと呼び、同社の最高安全顧問に任命することを提案しました。
3. マルチチェーン:600万ドルが影響を受け、部分的に賠償済み
2022年1月、Multichainは複数のトークンに影響を与える重要な脆弱性を発見しました。脆弱性は修正されましたが、いまだに一部のユーザーは権限を適時取り消さなかったために損失を被りました。合計約604万ドルのWETHとAVAXが盗まれました。
事故の原因は、Multichainがユーザーが送信したトークンの合法性を検証する際に欠陥があり、すべてのunderlyingトークンがpermit関数を実装しているわけではないことを考慮していなかったことです。チームは盗まれた資金の約50%を回収し、補償プランを提案しましたが、指定された日付前に契約の権限を撤回したユーザーに限ります。
4. QBridge:8000万ドルの損失、わずか2%の補償
2022年1月末、貸出プロトコルQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失が出ました。
攻撃者はQBridgeのホワイトリストトークン転送処理において、ゼロアドレスであるかどうかを再確認しない脆弱性を利用し、BSC上で大量のxETHトークンを無から鋳造し、それを担保にしてQubitから他のトークンを借り出し、Qubitの担保が尽きる事態を引き起こしました。
現在Qubitの使用率はほぼゼロであり、公式データによると98%の盗まれた資金はまだ補償されていません。
5. Meter.io:440万ドルの損失、将来の収益で補填することを約束
2022年2月、Meter Passportクロスチェーンブリッジは「誤った信頼仮定」によりハッカーに利用され、440万ドルの損失を被りました。攻撃者は偽のBNBとETHの送金を通じて攻撃を実行しました。
Meterチームは最初にMTRGトークンをユーザーの損失に補償することを計画していましたが、後に新しいPASSトークンを発行して賠償することに決定し、将来の収益でこれらのトークンを買い戻すことを約束しました。しかし、現時点ではまだ何の買い戻し操作も行われていません。
6. ロニン:6.2億ドルが盗まれ、全額賠償済み
2022年3月、ブロックチェーンゲームAxie Infinityの背後にあるRoninチェーンが重大な攻撃を受け、約6.2億ドルの損失が発生しました。この攻撃は実際には3月23日に発生しましたが、6日後まで発見されませんでした。
攻撃者はソーシャルエンジニアリング手法を用いて、採用会社を装ってSky Mavisの社員に接触し、最終的にRoninネットワークに侵入し、複数のバリデーターノードを制御しました。盗まれた資金は回収できませんでしたが、Sky Mavisは新たな資金調達を通じて1.5億ドルを集め、ユーザーの損失を補償するために使用しました。
7. ワームホール:3.26億ドルの損失、全額支払済み
2022年2月初、クロスチェーン相互運用プロトコルWormholeがハッカーの攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。
攻撃の原因は、Solana側のWormholeのコアコントラクトの署名検証コードにエラーがあり、攻撃者がガーディアンメッセージを偽造してwhETHを鋳造できるようになったことです。事故発生後、Jump CryptoはWormholeに12万ETHを迅速に注入し、全ての損失を補填し、Wormholeの運営を再開させました。
8. EvoDeFi:数千万ドルの推定損失、未処理
2022年6月、Oasisエコシステム内のDEX ValleySwapでUSDTが深刻なペッグ外れの現象が発生しました。具体的な損失額は不明ですが、推定で千万ドル規模です。
問題の根源は、ValleySwapが使用しているクロスチェーンブリッジEVODeFiのソースチェーンでの流動性不足にあります。EVODeFiはFUDによって引き起こされたパニックだと主張していますが、この説明は説得力に欠けます。Oasisの公式は、ValleySwapとEvoDeFiに関連がないことを強調し、EvoDeFiは高リスクで監査されておらずオープンソースでないプロジェクトであることを指摘しています。
現在のところ、ユーザーの損失に対する解決策はまだ得られておらず、関係者はさらなるコミュニケーションを停止したようです。
9. ホライゾン:約1億ドルの損害賠償、補償計画はまだ策定中
2022年6月24日、Harmony公式クロスチェーンブリッジHorizonが攻撃を受け、約1億ドルの資金損失が発生しました。
Harmonyの創設者Stephen Tseは、攻撃は「プライベートキーの漏洩」によって引き起こされた可能性があることを認めました。盗まれた資金は複数のネットワークとさまざまな暗号通貨に関わっています。事件発生後、Horizonはマルチシグの閾値を引き上げましたが、この対策では既に発生した損失を取り戻すことはできませんでした。
Harmonyは、ONEトークンの増発を通じて3年以内にユーザーの損失を段階的に補償することを提案しましたが、この提案はコミュニティの一致した承認を得ることができませんでした。現在、チームは補償プランの再策定を進めています。
10. ノマド:1.9億ドルが影響を受け、処理中
2022年8月初、Nomadクロスチェーンブリッジは重大なセキュリティ事故に遭遇し、1.9億ドルの流動性が迅速に流出しました。この事件は、別のLayer2相互運用性プロトコルであるConnextにも間接的な影響を及ぼし、約334万ドルの連帯損失を引き起こしました。
専門家の分析によると、今回の事故はNomadが契約アップグレードの際に信頼できるルートを0x00に初期化したことに起因しており、これにより誰でも有効な取引を利用してアドレスを置き換え、資金を引き出すことができるようになった。
攻撃は1251のETHアドレスに関連しており、その中でENSアドレスは総額の38%を占めています。現在、プロジェクト側は明確な賠償案を提示していませんが、一部のホワイトハットハッカーは資金を返還する意向を示しています。
まとめ
クロスチェーンブリッジの安全事故の頻繁な発生は業界の高度な関心を引き起こすべきです。流動性ランキングの上位3つのブリッジ、例えばMultichain、Portal(Wormhole)、Poly Networkでさえも安全問題に直面したことがあることから、クロスチェーンブリッジ分野には依然として高いリスクが存在し、どのプロジェクトも再び安全な脆弱性が発生する可能性があります。
過去の事例から見ると、背景が強力で資金力のあるクロスチェーンブリッジプロジェクトは、安全事故に遭遇した際、しばしば資産をより効果的に回収したり、ユーザーに補償を提供したりすることができます。例えば、Poly Network、Ronin Network、Wormholeは、大規模な資金盗難事件が発生した後、資金を回収したり、全額補償を行ったりしました。
さらに、チームのリアルタイム監視と迅速な対応能力も非常に重要です。Hop ProtocolやStarGateのようなプロジェクトは、疑わしい活動の報告を受けた後、迅速に行動を起こし、潜在的な攻撃を効果的に阻止しました。