ブロックチェーンブリッジのNomadにハッキング、約250億円が流出

今回は「ブロックチェーンブリッジのNomadにハッキング、約250億円が流出」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 異なるブロックチェーン間での仮想通貨の移動を可能にする仮想通貨プロトコルを手がけるNomadのブリッジが、米国時間8月1日にハッキングを受け、1億9000万ドル(約250億円)が流出した。「分散型強盗」と呼ばれるこの攻撃では、Nomadのプログラムに不具合があったことから、スクリプトをコピー&ペーストするだけで資金を盗み出せる状態になっていた。

 ブロックチェーンは、詳しい人でなければどれも同じに見えるかもしれないが、仮想通貨のトレーダーはイーサリアム、アバランチ、ソラナなど、複数の異なるブロックチェーンを利用することが多い。ビットコインを取得してイーサリアムのブロックチェーンで使ったり、イーサを取得してソラナで使ったりするなど、異なるブロックチェーン間でトークンを取り引きするとなると、実際はかなり複雑になることがある。こうした需要に対応するため、Nomadを含む複数の企業が「クロスチェーン」ブリッジを開発してきた。あるブロックチェーン上のスマートコントラクトに仮想通貨を預け、そのトークンを別のブロックチェーンに「ブリッジ」(橋渡し)する仕組みだ。

 今回の攻撃で重要なポイントは、このプロセス全体がスマートコントラクトにロックされた仮想通貨に依存している点にある。イーサリアムのスマートコントラクトに預けられた1イーサでも、たとえばアバランチのブロックチェーンでユーザーが受け取るイーサの担保として機能する。Nomadはハッキングを受ける前、スマートコントラクトにユーザーの資金1億9000万ドル以上を置いていた。本記事執筆時点で、スマートコントラクトにロックされたままなのはわずか9000ドル(約120万円)だ。

 皮肉なことに、そのスマートコントラクトへの「アップグレード」が、容易に実行可能な攻撃につながった。分散型金融は匿名性が高く、不正な手口を仕掛けられやすい。その結果、プロトコルから盗み出された金額は、ものの数時間で1億9000万ドルに達したのだ。

 技術的な側面を理解するには、イーサリアムの開発言語であるSolidityを知っている必要がある。要点は、スマートコントラクトが壊れたということだ。承認されるべきでない特定の取引が実行され、複製される可能性があった。不審な取引が始まったのは、米国太平洋時間8月1日午前9時13分頃、複数のウォレットがブリッジから100ビットコイン(約3億400万円)を抜き取った時だとみられる。そこからは誰もが、最初の攻撃者が使ったスクリプトを正確にコピー&ペーストし、スクリプト中のウォレット番号だけを自分の番号に置き換えて、それを実行するだけでよかった。ほかには、イーサや、米ドルに連動するステーブルコインのUSD Coin(USDC)など、他のトークンで資金を持ち出す人もいた。

 仮想通貨投資会社Paradigmの研究者であるSam Sun氏は、この攻撃を解説する連続ツイートで、次のように書いた。「今回のハックがこれほどの混乱を招いた理由はこうだ。Solidityや(取引データを要約する)Merkle Treesなどの技術について知っている必要はなかった。必要なのは、うまくいくトランザクションを見つけ、送金先のアドレスを自分のものに置き換えて、それを再送信するだけでよかったのだ」

 別のブロックチェーン研究者は、「CTRL-C、CTRL-V(コピー&ペーストのショートカットキー)のように簡単だ」とツイートした。

 Nomadは状況を調査中であり、資金を追跡し回収すべくブロックチェーン分析会社や警察と協力しているとツイートしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「DXコンサルティングエコシステム」を推進するデルの思惑とは
IT関連
2021-04-09 04:54
キヤノンMJ、請求書受け取りのクラウドサービスを開始
IT関連
2023-04-12 07:59
人のやさしさを感じる会社に–ITの刷新と定着で文化を変えた日鉄工営の5年間
IT関連
2024-12-10 17:45
コロナ終息後、欧米企業の70%がハイブリッド勤務に–Forrester予想
IT関連
2021-06-01 02:23
Metaの研究者が画像・音声・文字を同じように学習するAIを開発
IT関連
2022-01-23 01:11
NECとICRC、覚書を締結– AIを用いて地雷源を予測
IT関連
2021-06-21 00:53
アスクルとソフトバンク、中小企業のDXを支援–相談からITツール選定までトータルサポート
IT関連
2022-11-02 13:21
グーグル、最新AIモデルで危機にある人々の検索を改善–「MUM」活用
IT関連
2022-04-02 18:51
Apple Musicはストリーミング1回当たり約1円
イラスト・デザイン
2021-04-20 15:20
グーグル・クラウドが支援するスタートアップ–資金や技術、事業面を評価
IT関連
2022-07-15 03:06
富士通Japan、消防/救急向け新システム–スマホでスムーズな現場活動を支援
IT関連
2023-08-22 01:11
マイクロソフトが提唱する次世代エンドポイントの使い所
IT関連
2022-09-15 16:53
アサヒグループジャパン、コンテンツを一元管理するハブとして「Box」採用
IT関連
2022-05-03 03:20
猿田彦珈琲、予実管理クラウドを導入–データドリブンな経営判断と現場の意識改革図る
IT関連
2024-05-23 10:38