ブロックチェーンインフラストラクチャー企業Meter：サイバー攻撃で440万ドル盗まれる

Meterがサイバー攻撃の被害で440万ドル失う

ブロックチェーンインフラストラクチャー企業のMeterが、2月5日（土曜日）、現地時間の午前9時頃に開始されたプラットフォームへのサイバー攻撃中により、440万ドル（約5億円）が盗まれたと述べている事がわかった。

The @Meter_IO is hacked with the loss of $~4.3M (including 1391.24945169 ETH + 2.74068396 BTC). The extension over the original (unaffected) ChainBridge introduces a false deposit issue !!! https://t.co/YShfXnEZzD pic.twitter.com/oY6bpau8DA

— PeckShield Inc. (@peckshield) February 6, 2022

同社は、スマートコントラクトが異種のブロックチェーンネットワークを介して拡張および移動できるようにするインフラストラクチャーを管理しており、MeterネットワークとMoonriverネットワークがハッキングの影響を受けたとのこと。ブロックチェーンの調査会社であるPeckShieldは、被害について、1391ETH（約4億9,492万円）と2.74BTC（約1,350万円）※2月7日16時半時点のCoinMarketCap調べ が盗まれたことを確認している。

Meter hacking被害後の対応と流れ

土曜日の午後2時頃、同社はハッキングされたと述べた。

Community, unfortunately Meter Passport was hacked a few hours ago. Please do not trade the unbacked meterBNB that is circulating on Moonriver.

We have identified the issue: Passport has a feature to automatically wrap and unwrap gas tokens like ETH and BNB for user convenience.

— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022

Moonriverで流通している裏付けのないmeterBNBを取引しないようユーザーに警告し、次のように述べている。

問題を特定しました。Passportには、ユーザーの便宜のためにETHやBNBなどのガストークンを自動的にラップおよびアンラップする機能があります。ただし、契約では、ラップされたERC20トークンとネイティブガストークンの直接のやり取りがブロックされず、適切に転送されませんでした。発信者のアドレスから転送されたWETHの正しい数を確認します。影響を受けるすべてのユーザーに資金を補償するよう取り組んでいます。

現地時間の午後6時までに、Meterはすべてのブリッジトランザクションを停止し、Meterチームによって拡張されたBNBやETHなどのネイティブトークンの自動ラップとラップで発生したバグに関連する問題を発見したと述べている。

Meterによると、その拡張コードは信頼の仮定が間違っていたため、ハッカーは基盤となるERC-20デポジット関数を呼び出すことでBNBとETHを偽造ができたとのこと。Meterは当局とすでに連携を図っており、ハッカーの初期の痕跡を見つけており、犯人に盗まれたお金を返還するよう促している。

補償計画は、ラップドイーサリアム（Wrapped ETH/WETH）とバイナンスコイン(BinanceCoin/BNB)を保有するユーザー、および「流動性プロバイダー」のために作成されており、次のように説明している。

WETHとBNBが関与する流動性を提供するすべての流動性プロバイダーに、プールから流動性を取り除き、メーターチームからの追加の発表を待つよう要請します。これらのペアでの取引も避けてください。

最近のハッキングは、2021年に発生したDeFi（分散型金融）およびブロックチェーンプラットフォームへの一連の攻撃を続けている。Chainalysis（チェイナリシス）によると、2021年にDeFiプロトコルから少なくとも22億ドル（約2,535億円）が完全に盗まれている。