# クロスチェーンブリッジ攻撃事件回顧:近20億ドルの損失、超15億ドルの補償を受ける近年、ブロックチェーンエコシステムの急速な発展に伴い、クロスチェーンブリッジは異なるパブリックチェーンをつなぐ重要なインフラとなっています。しかし、大量の資金を保管し、頻繁にクロスチェーン操作を行うため、クロスチェーンブリッジはハッカー攻撃の人気の標的ともなっています。本記事では、最近発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その原因と影響、各プロジェクトの対応策をまとめます。! [クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました](https://img-cdn.gateio.im/social/moments-1a69373c14868b6549cff6645437d962)## ChainSwap: 2つの攻撃で約900万ドルの損失を被った2021年7月、ChainSwapはわずか9日間で2回のハッキング攻撃を受けました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃では800万ドルに達し、20以上のChainSwapを使用してクロスチェーンを行っているプロジェクトに影響を与えました。調査によると、攻撃はプロトコルが署名の有効性を厳密に検証できなかったことに起因し、攻撃者は自分で生成した署名を使用して取引を実行することができました。主要な損失はガバナンストークンであったため、ChainSwapおよび複数の影響を受けたプロジェクトはスナップショットを行い、トークンを再発行して保有者や流動性提供者の損失を補償することを選択しました。## ポリネットワーク:6.1億ドルが盗まれた後、全額返還2021年8月10日、クロスチェーンプロトコルPoly Networkは当時最大規模のDeFi攻撃に遭い、イーサリアム、バイナンススマートチェーン、ポリゴンの3つのネットワークで合計約6.1億ドルの資産を失いました。攻撃者はPoly Networkの契約権限管理ロジックの脆弱性を利用し、ターゲットチェーンのバリデーターアドレスを成功裏に置き換え、資産を移転する権限を得ました。攻撃手法は巧妙でしたが、ハッカーは最終的に全ての資金を返還することを選び、Poly Networkは彼を「ホワイトハット」ハッカーと呼び、会社のチーフセキュリティアドバイザーに招待しました。## マルチチェーン:600万ドルの損失、部分的に補償済み2022年1月、Multichainは複数のトークンに影響を与える重大な脆弱性を発見しました。脆弱性は迅速に修正されましたが、約604万ドルのWETHとAVAXが盗まれました。問題は、Multichainがユーザーが送信したトークンの合法性を正しく検証していなかったため、特定のユーザーのWETHが攻撃者が構築した悪意のあるアドレスに転送されたことにあります。Multichainチームは、盗まれた資金の約50%を回収することに成功し、補償案を提案しましたが、これは指定された日付前に権限を取り消したユーザーのみに限られています。## QBridge:8000万ドルの損失、わずかの賠償2022年1月末、貸出プラットフォームQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者はQBridgeがホワイトリストトークンの転送を処理する際の脆弱性を利用し、BSC上で大量のxETHトークンを無から鋳造し、これらのトークンを使ってQubitから他の資産を借り出しました。現在、Qubitの使用率は大幅に減少しており、公式データによると、依然として98%の盗まれた資金が補償されていません。## $Meter.io:440 の損失と将来の利益の約束2022年2月、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。攻撃は、Meterが元のコードを拡張する際に発生した「誤った信頼仮定」に起因し、ハッカーがBNBとETHの送金を偽造することを可能にしました。Meterチームは当初、MTRGトークンを使用してユーザーの損失を補償する計画でしたが、後に新しいPASSトークンを発行して補償することに決定し、将来の収益でこれらのトークンを買い戻すことを約束しました。しかし、現在までに買い戻し操作は行われていません。## ロニン:6.2億ドルが盗まれ、全額賠償済み2022年3月、Axie Infinityの背後にあるRoninチェーンが重大な攻撃を受け、最大6.2億ドルの損失を被りました。この攻撃は複雑なソーシャルエンジニアリング手法を含み、攻撃者はリクルート会社に偽装することでRoninネットワークに侵入し、複数のバリデーションノードを制御しました。盗まれた資金が回収できなかったものの、Roninの背後にあるSky Mavis社はユーザーの損失を補償するために1.5億ドルの資金を迅速に調達しました。攻撃から補償期間中にETHの価格が大幅に下落したため、ユーザーが実際に受け取った補償の価値は盗まれた時の資産の価値を下回ることに注意が必要です。## ウォームホール:3.26億ドルの損失、全額補償を受ける2022年2月初、クロスチェーンプロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコア契約における署名検証の脆弱性を利用し、「ガーディアン」メッセージを偽造して大量のwhETHを鋳造することに成功しました。幸いにも、Wormholeの背後にいるJump Cryptoが迅速に12万ETHを注入し、損失を完全に補填したことで、Wormholeは迅速に運営を再開することができました。## EvoDeFi:推定損失は数千万ドルに上り、解決されていない2022年6月、Oasisエコシステム内のDEX ValleySwapでUSDTの深刻なペッグ外れが発生し、多くのユーザーが損失を被りました。問題はValleySwapが使用しているクロスチェーンブリッジEVODeFiのソースチェーン上の流動性不足に起因しています。正確な損失額は不明ですが、1,000万ドル規模であると推定されています。残念ながら、関係者は責任を回避しようとしており、ユーザーの損失は現在まで何の補償や解決策も得られていません。## Horizon:近1億ドルの損失、賠償プランはまだ策定中です2022年6月、Harmonyのパブリックブロックチェーンの公式クロスチェーンブリッジであるHorizonが攻撃を受け、約1億ドルの損失が発生しました。調査によれば、攻撃はプライベートキーの漏洩によって引き起こされた可能性があります。Harmonyチームは、ONEトークンの増発を通じて3年以内にユーザーの損失を段階的に補償することを提案しましたが、この提案はコミュニティの支持を得られませんでした。現在、新しい補償方案が策定中です。## ノマド:1.9億ドルが盗まれ、一部の資金は回収される見込み2022年8月、クロスチェーンプロトコルNomadが重大なセキュリティ事故に遭い、1.9億ドルの資金が流出しました。攻撃は契約のアップグレード中の重大なミスに起因し、誰でもブリッジから資金を引き出すことができるようになりました。この事件には多くのアドレスが関与しており、ENSドメインのユーザーも少なくありません。公式には明確な補償プランはまだ示されていませんが、一部のホワイトハッカーが資金を返還する意向を示しており、最終的な解決に希望をもたらしています。## まとめこれらの重大なクロスチェーンブリッジ攻撃事件を振り返ると、1. クロスチェーンブリッジは依然としてDeFiエコシステムの高リスク領域であり、有名なプロジェクトでさえ攻撃を受けることが避けられません。2. 攻撃原因は多様であり、契約の脆弱性、権限管理の問題、ソーシャルエンジニアリング攻撃などが含まれ、プロジェクト側は全方位でセキュリティ対策を強化する必要があります。3. プロジェクトの背景と資金力は事後処理において非常に重要です。資金力のあるプロジェクトは迅速に資金を調達して補償を行うことができる一方で、小規模なプロジェクトは継続が難しい場合があります。4. リアルタイム監視と迅速な対応は損失を効果的に減少させることができます。一部のプロジェクトは、疑わしい活動をタイムリーに発見し対処することで、大規模な攻撃を成功裏に回避しました。5. ユーザーはクロスチェーンブリッジを選択する際に慎重であるべきであり、実力と背景のあるプロジェクトを優先的に考慮し、プロジェクトチームの安全警告や更新に注意を払う必要があります。
クロスチェーンブリッジ攻撃損失近20億ドル 15億ドルはすでに補償されている
クロスチェーンブリッジ攻撃事件回顧:近20億ドルの損失、超15億ドルの補償を受ける
近年、ブロックチェーンエコシステムの急速な発展に伴い、クロスチェーンブリッジは異なるパブリックチェーンをつなぐ重要なインフラとなっています。しかし、大量の資金を保管し、頻繁にクロスチェーン操作を行うため、クロスチェーンブリッジはハッカー攻撃の人気の標的ともなっています。本記事では、最近発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その原因と影響、各プロジェクトの対応策をまとめます。
! クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました
ChainSwap: 2つの攻撃で約900万ドルの損失を被った
2021年7月、ChainSwapはわずか9日間で2回のハッキング攻撃を受けました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃では800万ドルに達し、20以上のChainSwapを使用してクロスチェーンを行っているプロジェクトに影響を与えました。
調査によると、攻撃はプロトコルが署名の有効性を厳密に検証できなかったことに起因し、攻撃者は自分で生成した署名を使用して取引を実行することができました。主要な損失はガバナンストークンであったため、ChainSwapおよび複数の影響を受けたプロジェクトはスナップショットを行い、トークンを再発行して保有者や流動性提供者の損失を補償することを選択しました。
ポリネットワーク:6.1億ドルが盗まれた後、全額返還
2021年8月10日、クロスチェーンプロトコルPoly Networkは当時最大規模のDeFi攻撃に遭い、イーサリアム、バイナンススマートチェーン、ポリゴンの3つのネットワークで合計約6.1億ドルの資産を失いました。
攻撃者はPoly Networkの契約権限管理ロジックの脆弱性を利用し、ターゲットチェーンのバリデーターアドレスを成功裏に置き換え、資産を移転する権限を得ました。攻撃手法は巧妙でしたが、ハッカーは最終的に全ての資金を返還することを選び、Poly Networkは彼を「ホワイトハット」ハッカーと呼び、会社のチーフセキュリティアドバイザーに招待しました。
マルチチェーン:600万ドルの損失、部分的に補償済み
2022年1月、Multichainは複数のトークンに影響を与える重大な脆弱性を発見しました。脆弱性は迅速に修正されましたが、約604万ドルのWETHとAVAXが盗まれました。
問題は、Multichainがユーザーが送信したトークンの合法性を正しく検証していなかったため、特定のユーザーのWETHが攻撃者が構築した悪意のあるアドレスに転送されたことにあります。Multichainチームは、盗まれた資金の約50%を回収することに成功し、補償案を提案しましたが、これは指定された日付前に権限を取り消したユーザーのみに限られています。
QBridge:8000万ドルの損失、わずかの賠償
2022年1月末、貸出プラットフォームQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者はQBridgeがホワイトリストトークンの転送を処理する際の脆弱性を利用し、BSC上で大量のxETHトークンを無から鋳造し、これらのトークンを使ってQubitから他の資産を借り出しました。
現在、Qubitの使用率は大幅に減少しており、公式データによると、依然として98%の盗まれた資金が補償されていません。
$Meter.io:440 の損失と将来の利益の約束
2022年2月、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。攻撃は、Meterが元のコードを拡張する際に発生した「誤った信頼仮定」に起因し、ハッカーがBNBとETHの送金を偽造することを可能にしました。
Meterチームは当初、MTRGトークンを使用してユーザーの損失を補償する計画でしたが、後に新しいPASSトークンを発行して補償することに決定し、将来の収益でこれらのトークンを買い戻すことを約束しました。しかし、現在までに買い戻し操作は行われていません。
ロニン:6.2億ドルが盗まれ、全額賠償済み
2022年3月、Axie Infinityの背後にあるRoninチェーンが重大な攻撃を受け、最大6.2億ドルの損失を被りました。この攻撃は複雑なソーシャルエンジニアリング手法を含み、攻撃者はリクルート会社に偽装することでRoninネットワークに侵入し、複数のバリデーションノードを制御しました。
盗まれた資金が回収できなかったものの、Roninの背後にあるSky Mavis社はユーザーの損失を補償するために1.5億ドルの資金を迅速に調達しました。攻撃から補償期間中にETHの価格が大幅に下落したため、ユーザーが実際に受け取った補償の価値は盗まれた時の資産の価値を下回ることに注意が必要です。
ウォームホール:3.26億ドルの損失、全額補償を受ける
2022年2月初、クロスチェーンプロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコア契約における署名検証の脆弱性を利用し、「ガーディアン」メッセージを偽造して大量のwhETHを鋳造することに成功しました。
幸いにも、Wormholeの背後にいるJump Cryptoが迅速に12万ETHを注入し、損失を完全に補填したことで、Wormholeは迅速に運営を再開することができました。
EvoDeFi:推定損失は数千万ドルに上り、解決されていない
2022年6月、Oasisエコシステム内のDEX ValleySwapでUSDTの深刻なペッグ外れが発生し、多くのユーザーが損失を被りました。問題はValleySwapが使用しているクロスチェーンブリッジEVODeFiのソースチェーン上の流動性不足に起因しています。
正確な損失額は不明ですが、1,000万ドル規模であると推定されています。残念ながら、関係者は責任を回避しようとしており、ユーザーの損失は現在まで何の補償や解決策も得られていません。
Horizon:近1億ドルの損失、賠償プランはまだ策定中です
2022年6月、Harmonyのパブリックブロックチェーンの公式クロスチェーンブリッジであるHorizonが攻撃を受け、約1億ドルの損失が発生しました。調査によれば、攻撃はプライベートキーの漏洩によって引き起こされた可能性があります。
Harmonyチームは、ONEトークンの増発を通じて3年以内にユーザーの損失を段階的に補償することを提案しましたが、この提案はコミュニティの支持を得られませんでした。現在、新しい補償方案が策定中です。
ノマド:1.9億ドルが盗まれ、一部の資金は回収される見込み
2022年8月、クロスチェーンプロトコルNomadが重大なセキュリティ事故に遭い、1.9億ドルの資金が流出しました。攻撃は契約のアップグレード中の重大なミスに起因し、誰でもブリッジから資金を引き出すことができるようになりました。
この事件には多くのアドレスが関与しており、ENSドメインのユーザーも少なくありません。公式には明確な補償プランはまだ示されていませんが、一部のホワイトハッカーが資金を返還する意向を示しており、最終的な解決に希望をもたらしています。
まとめ
これらの重大なクロスチェーンブリッジ攻撃事件を振り返ると、
クロスチェーンブリッジは依然としてDeFiエコシステムの高リスク領域であり、有名なプロジェクトでさえ攻撃を受けることが避けられません。
攻撃原因は多様であり、契約の脆弱性、権限管理の問題、ソーシャルエンジニアリング攻撃などが含まれ、プロジェクト側は全方位でセキュリティ対策を強化する必要があります。
プロジェクトの背景と資金力は事後処理において非常に重要です。資金力のあるプロジェクトは迅速に資金を調達して補償を行うことができる一方で、小規模なプロジェクトは継続が難しい場合があります。
リアルタイム監視と迅速な対応は損失を効果的に減少させることができます。一部のプロジェクトは、疑わしい活動をタイムリーに発見し対処することで、大規模な攻撃を成功裏に回避しました。
ユーザーはクロスチェーンブリッジを選択する際に慎重であるべきであり、実力と背景のあるプロジェクトを優先的に考慮し、プロジェクトチームの安全警告や更新に注意を払う必要があります。