Nomad Bridgeで巨額ハッキング被害発覚
異なるブロックチェーン間での仮想通貨の移動を可能にする仮想通貨プロトコルを手掛けているNomad Bridgeが、米国時間8月1日にハッキング被害に遭い、1億9,000万ドル(約254.5億円)が被害に遭ったことが明らかになった。
独立したブロックチェーン間でトークンを移動させて相互運用を可能にする「トークンブリッジ」を手がけるNomadが攻撃を受け、約1億9070万ドル相当の仮想通貨が盗み出された。初動報告によると、2022年8月2日現地時間の6時37分頃、Nomadトークンブリッジが活発にハッキングを受け、ラップドイーサリアム(Wrapped ETH/WETH)やラップドビットコイン(Wrapped Bitcoin/WBTC)が盗まれ始めたとのこと。
1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes 👇 pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) August 1, 2022
Nomadは、Web3がこれまでに見た中で最も混沌(こんとん)としたハッキングの1つで、1億5,000万ドル以上を使い果たしました。これはどの程度正確に発生し、根本的な原因は何でしたか?舞台裏を紹介させてください。
投資会社パラダイム(Paradigm)の研究員サムチュン(Samczsun)氏によると、Nomadのスマートコントラクトの1つに対して最近行われたアップデートにより、ユーザーが簡単に取引を偽装できるようになっていたとのこと。これにより、ユーザーがあるブロックチェーンから別のブロックチェーンに資金を送金する際、Nomadはその金額を確認せず、ユーザーが自分のものではない資金の引き出しが可能になっていたとのこと。
資金保持を検証していないNomad
今回の攻撃で重要なポイントは、このプロセス全体がスマートコントラクトにロックされた仮想通貨に依存している点にあり、イーサリアムスマートコントラクトに預けられた1ETHでも、アバランチのブロックチェーンでユーザーが受け取るETHの担保として機能するとのこと。
Web3のバグバウンティプログラムを提供するImmunefiの技術リーダーであるエイドリアン・ヘットマン(Adrian Hetman)氏は次のように語っている。
今回のハッキングは小切手帳を使って銀行から資金を引き出すようなもので、Nomadは小切手そのものが有効かどうかだけを気にしているだけで、われわれが実際に十分なお金を保持しているかは検証しなかった。
1/ Important Notice: The Moonbeam Network has gone into Maintenance Mode in order to investigate a security incident with a smart contract deployed on the network.
— Moonbeam Network (@MoonbeamNetwork) August 1, 2022
重要なお知らせ:Moonbeam Networkは、ネットワークに展開されたスマートコントラクトのセキュリティインシデントを調査するためにメンテナンスモードになりました。
今回の攻撃者は単独犯ではなく、複数人により実行されており、最初のハッキングを聞きつけたハッカーたちは元となった取引をコピーして一部の値を変更するだけでハッキングができたという。とのこと。Nomadは今回の事件に対して調査中であるとして次のように述べている。
24時間体制でこの状況に対処しています。私たちの目標は、関与したアカウントを特定し、資金を追跡して回収することです。
実際、分散型金融は匿名性が高く、不正な手口を仕掛けられやすい特性を有しており、スマートコントラクトへのアップグレードが、容易に実行可能な攻撃につながったと考えられる。
