ブロックチェーンブリッジのNomadにハッキング、約250億円が流出

今回は「ブロックチェーンブリッジのNomadにハッキング、約250億円が流出」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 異なるブロックチェーン間での仮想通貨の移動を可能にする仮想通貨プロトコルを手がけるNomadのブリッジが、米国時間8月1日にハッキングを受け、1億9000万ドル(約250億円)が流出した。「分散型強盗」と呼ばれるこの攻撃では、Nomadのプログラムに不具合があったことから、スクリプトをコピー&ペーストするだけで資金を盗み出せる状態になっていた。

 ブロックチェーンは、詳しい人でなければどれも同じに見えるかもしれないが、仮想通貨のトレーダーはイーサリアム、アバランチ、ソラナなど、複数の異なるブロックチェーンを利用することが多い。ビットコインを取得してイーサリアムのブロックチェーンで使ったり、イーサを取得してソラナで使ったりするなど、異なるブロックチェーン間でトークンを取り引きするとなると、実際はかなり複雑になることがある。こうした需要に対応するため、Nomadを含む複数の企業が「クロスチェーン」ブリッジを開発してきた。あるブロックチェーン上のスマートコントラクトに仮想通貨を預け、そのトークンを別のブロックチェーンに「ブリッジ」(橋渡し)する仕組みだ。

 今回の攻撃で重要なポイントは、このプロセス全体がスマートコントラクトにロックされた仮想通貨に依存している点にある。イーサリアムのスマートコントラクトに預けられた1イーサでも、たとえばアバランチのブロックチェーンでユーザーが受け取るイーサの担保として機能する。Nomadはハッキングを受ける前、スマートコントラクトにユーザーの資金1億9000万ドル以上を置いていた。本記事執筆時点で、スマートコントラクトにロックされたままなのはわずか9000ドル(約120万円)だ。

 皮肉なことに、そのスマートコントラクトへの「アップグレード」が、容易に実行可能な攻撃につながった。分散型金融は匿名性が高く、不正な手口を仕掛けられやすい。その結果、プロトコルから盗み出された金額は、ものの数時間で1億9000万ドルに達したのだ。

 技術的な側面を理解するには、イーサリアムの開発言語であるSolidityを知っている必要がある。要点は、スマートコントラクトが壊れたということだ。承認されるべきでない特定の取引が実行され、複製される可能性があった。不審な取引が始まったのは、米国太平洋時間8月1日午前9時13分頃、複数のウォレットがブリッジから100ビットコイン(約3億400万円)を抜き取った時だとみられる。そこからは誰もが、最初の攻撃者が使ったスクリプトを正確にコピー&ペーストし、スクリプト中のウォレット番号だけを自分の番号に置き換えて、それを実行するだけでよかった。ほかには、イーサや、米ドルに連動するステーブルコインのUSD Coin(USDC)など、他のトークンで資金を持ち出す人もいた。

 仮想通貨投資会社Paradigmの研究者であるSam Sun氏は、この攻撃を解説する連続ツイートで、次のように書いた。「今回のハックがこれほどの混乱を招いた理由はこうだ。Solidityや(取引データを要約する)Merkle Treesなどの技術について知っている必要はなかった。必要なのは、うまくいくトランザクションを見つけ、送金先のアドレスを自分のものに置き換えて、それを再送信するだけでよかったのだ」

 別のブロックチェーン研究者は、「CTRL-C、CTRL-V(コピー&ペーストのショートカットキー)のように簡単だ」とツイートした。

 Nomadは状況を調査中であり、資金を追跡し回収すべくブロックチェーン分析会社や警察と協力しているとツイートしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Google I/O 2021基調講演まとめ :Google I/O 2021
アプリ・Web
2021-05-20 18:49
NEC、サービスナウでITサービス運用を高度化へ
IT関連
2021-02-18 11:54
Microsoftの法務顧問が見せた規制へのリスペクト–プライバシーやコロナ禍を語る
IT関連
2021-07-09 08:44
Microsoft、バーチャル「Build 2021」を5月19日から48時間、無料で開催へ
企業・業界動向
2021-04-06 18:17
ランサムウェアはKubernetesの脅威に–ベリタス調査
IT関連
2022-04-13 12:25
AIが店内映像解析、接客を効率化 埼玉県のイオンで
IT関連
2021-06-05 17:59
電気設備工事での電力計確認を効率化、SPIDERPLUSときんでんがOCR連携機能実験
ソフトウェア
2021-05-26 18:48
食事の計画と食料品のコンシェルジュサービスを組み合わせたドイツKitchenfulの新事業
フードテック
2021-07-25 02:25
ビジネスの意思決定の精度向上へ–データ活用力を高めるための5項目
IT関連
2021-05-20 05:40
SCSK、女優の今田美桜を“可能性推進部長”に任命–さらなる飛躍目指す
IT関連
2022-04-28 07:23
質と量で世界初、工学院大学が約6360手話単語と10テーマ10件の対話を収録した高精度3D日本手話データベースを提供開始
パブリック / ダイバーシティ
2021-06-29 09:58
在籍33年目を迎えるHP CEOが語った「自らの進化への取り組み」とは
IT関連
2022-07-23 04:56
1日に必要な栄養素の3分の1を1食で摂れるBASE FOOD提供のベースフードが20億円調達、新商品開発を加速
IT関連
2022-02-25 10:45
東映、アニメ背景制作をAIで効率化 写真をイラスト風に自動変換、前処理を1/6に短縮
ロボット・AI
2021-03-13 06:26