# クロスチェーンブリッジ安全事故回顧:10大攻撃ケースに関与した資金は19億ドルを超える近年、クロスチェーンブリッジはハッカー攻撃の人気ターゲットとなっています。多くの新興パブリックチェーンがメインストリームの資産を欠いているため、クロスチェーンブリッジを通じてイーサリアムなどの成熟したパブリックチェーンから資産を取得する必要があり、これがクロスチェーンブリッジを資金の流動において重要なハブにしています。しかし、頻繁なセキュリティ事故はクロスチェーンブリッジの脆弱性を露呈しています。本稿では10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その教訓をまとめ、将来のセキュリティ対策の参考とします。! [クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました](https://img-cdn.gateio.im/social/moments-1a69373c14868b6549cff6645437d962)## ChainSwap:2回の攻撃で約880万ドルを失った2021年7月、ChainSwapはわずか9日間で2回のハッキング攻撃を受けました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃はさらに深刻で、損失は800万ドルに達し、20以上のChainSwapを使用しているクロスチェーンプロジェクトに影響を与えました。調査によると、攻撃者はプロトコルが署名の有効性を検証する際の脆弱性を利用しました。損失を補うために、ChainSwapおよび複数の影響を受けたプロジェクトは、スナップショットを行いトークンを再発行することを選択しました。## ポリネットワーク:6.1億ドルの資産が盗まれた後、全て回収される2021年8月、クロスチェーンプロトコルPoly Networkは、6.1億ドルに達する大規模な攻撃に遭遇しました。攻撃者は契約の権限管理ロジックの脆弱性を利用し、ターゲットチェーンのバリデーターアドレスを成功裏に置き換え、大量の資産を移転しました。攻撃手法は精密でしたが、最終的にハッカーは盗まれた資金をすべて返還することを選びました。Poly Networkはこれを「ホワイトハットハッカー」と呼び、さらにはそのハッカーを最高安全顧問に招待しました。この事件は和解で終わりましたが、クロスチェーンブリッジの権限管理に関する重大なリスクを露呈しました。## マルチチェーン:600万ドルの脆弱性損失が補償されました2022年1月、Multichainは多くのトークンに影響を与える重要な脆弱性を発見しました。脆弱性は迅速に修正されましたが、約604万ドルの資産が盗まれました。脆弱性は、Multichainがユーザーが入力したトークンの合法性を検証する際に疎忽があったために発生し、すべてのトークンが特定の関数を実装しているわけではないことを考慮していませんでした。チームは迅速に行動を起こし、盗まれた資金の約50%を回収し、提案を通じて権限を取り消されたユーザーに補償を行いました。## QBridge:8000万ドルの損失はわずか2%の補償2022年1月末、QubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者はQBridgeがホワイトリストトークンの送金を処理する際の脆弱性を利用し、BSC上で大量の偽トークンを成功裏に鋳造しました。この事件により、Qubitプラットフォームはほぼ運営を停止し、現在も98%の盗まれた資金が償還されていないことが明らかになり、いくつかのプロジェクトが重大なセキュリティ事故に直面した際の脆弱性が浮き彫りになっています。## Meter.io:440万ドルの損失、将来の収益で補償することを約束2022年2月、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。問題は、基盤となるコードの"誤った信頼仮定"にあり、攻撃者がトークンの転送を偽造することを可能にしました。Meterチームは最初にMTRGトークンを補償に使用することを提案しましたが、後に新しいPASSトークンを発行することに決定しました。この計画では、将来の収益を使用してこれらのトークンを買い戻す予定ですが、まだ買い戻しは行われていません。このアプローチは、セキュリティ侵害後にユーザーを補償する際の課題を浮き彫りにしています。## Ronin:6.2億ドルの盗難事例は全額補償されました2022年3月、Axie Infinityの背後にあるRoninチェーンが重大なセキュリティ事故に遭い、損失は最大6.2億ドルに達しました。この攻撃はソーシャルエンジニアリング手法を利用し、偽の会社採用を通じてSky Mavisのシステムに侵入しました。盗まれた資金は回収できなかったが、Sky Mavisはユーザーへの補償のために迅速に1.5億ドルを調達した。この事例は、強力なコミュニティのサポートと迅速な対応能力が危機管理において重要であることを示している。## ウォームホール:3.26億ドルの損失が即時補償を受ける2022年2月、クロスチェーンプロトコルWormholeが攻撃を受け、約3.26億ドルの損失が発生しました。攻撃者はSolana側のコントラクトにおける署名検証の脆弱性を利用し、大量の偽トークンを成功裏に鋳造しました。Jump Cryptoは迅速に12万ETHを注入し、Wormholeの損失を完全に補填しました。この事例は、ユーザーの信頼を維持するための強力な資金のバックアップの重要性を示しています。## EvoDeFi:数千万ドルと見積もられ、これまでに解決されていない2022年6月、Oasisエコシステム内のValleySwap DEXでUSDTの深刻なペッグ外れが発生し、多くのユーザーに損失をもたらしました。この問題は、使用されているクロスチェーンブリッジEVODeFiがソースチェーン上で流動性不足であることに起因しています。このイベントは、クロスチェーンブリッジの流動性管理の重要性と、パートナーを選定する際に十分なデューデリジェンスを行う必要性を浮き彫りにしました。## ホライゾン:近1億ドルの損失、賠償案はまだ策定中2022年6月、Harmonyの公式クロスチェーンブリッジHorizonが攻撃を受け、約1億ドルの損失が発生しました。調査によると、攻撃はプライベートキーの漏洩によって引き起こされた可能性があります。ハーモニーは最初に補償のためのトークンミンティングを提案しましたが、コミュニティはこのアプローチを拒否しました。補償を巡る ongoing discussions は、主要なセキュリティインシデントの後にユーザーの利益とプロジェクトの持続可能性のバランスを取ることの複雑さを浮き彫りにしています。## Nomad:19億ドルが盗まれ、一部の資金が回収される見込み2022年8月、Nomadクロスチェーンブリッジが攻撃を受け、1.9億ドルの損失を被りました。攻撃は契約のアップグレード中の設定ミスに起因し、誰でもブリッジ内の資金を引き出すことができました。巨額の損失にもかかわらず、一部のホワイトハッカーは資金を返還する意向を示しており、資産の回収に希望をもたらしています。この事件は、システムのアップグレードを行う際に厳格なセキュリティ監査の重要性を強調しています。## まとめこれらのクロスチェーンブリッジのセキュリティ事故を振り返ると、以下の結論が得られます:1. クロスチェーンブリッジはDeFiエコシステムにおける高リスクな部分であり、トッププロジェクトであってもセキュリティ問題に直面する可能性があります。2. 強力な開発チームのバックグラウンドと十分な資金サポートは、セキュリティインシデントを迅速に処理するために重要です。3. リアルタイム監視と迅速な対応メカニズムは、損失を効果的に減少させることができます。4. コミュニティの信頼と透明なコミュニケーションは、危機管理において重要な役割を果たします。5. セキュリティ監査とコードレビューは、特にシステムアップグレード時に常態化すべきです。6. 分散型やマルチシグネチャなどのメカニズムは、システムのセキュリティを向上させることができますが、実装時には慎重さが求められます。7. ユーザーはクロスチェーンブリッジを選択する際に慎重であるべきであり、良好な記録と強力なサポートを持つプロジェクトを優先的に考慮すべきです。クロスチェーン技術の不断の発展に伴い、安全問題はこの分野が直面する主な課題であり続けます。開発者、ユーザー、そして業界全体は警戒を保ち、安全対策を絶えず改善し、より安全で信頼性のあるクロスチェーンエコシステムを構築する必要があります。
クロスチェーンブリッジ安全回顧:10大攻撃ケース損失超19億ドル
クロスチェーンブリッジ安全事故回顧:10大攻撃ケースに関与した資金は19億ドルを超える
近年、クロスチェーンブリッジはハッカー攻撃の人気ターゲットとなっています。多くの新興パブリックチェーンがメインストリームの資産を欠いているため、クロスチェーンブリッジを通じてイーサリアムなどの成熟したパブリックチェーンから資産を取得する必要があり、これがクロスチェーンブリッジを資金の流動において重要なハブにしています。しかし、頻繁なセキュリティ事故はクロスチェーンブリッジの脆弱性を露呈しています。本稿では10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その教訓をまとめ、将来のセキュリティ対策の参考とします。
! クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました
ChainSwap:2回の攻撃で約880万ドルを失った
2021年7月、ChainSwapはわずか9日間で2回のハッキング攻撃を受けました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃はさらに深刻で、損失は800万ドルに達し、20以上のChainSwapを使用しているクロスチェーンプロジェクトに影響を与えました。
調査によると、攻撃者はプロトコルが署名の有効性を検証する際の脆弱性を利用しました。損失を補うために、ChainSwapおよび複数の影響を受けたプロジェクトは、スナップショットを行いトークンを再発行することを選択しました。
ポリネットワーク:6.1億ドルの資産が盗まれた後、全て回収される
2021年8月、クロスチェーンプロトコルPoly Networkは、6.1億ドルに達する大規模な攻撃に遭遇しました。攻撃者は契約の権限管理ロジックの脆弱性を利用し、ターゲットチェーンのバリデーターアドレスを成功裏に置き換え、大量の資産を移転しました。
攻撃手法は精密でしたが、最終的にハッカーは盗まれた資金をすべて返還することを選びました。Poly Networkはこれを「ホワイトハットハッカー」と呼び、さらにはそのハッカーを最高安全顧問に招待しました。この事件は和解で終わりましたが、クロスチェーンブリッジの権限管理に関する重大なリスクを露呈しました。
マルチチェーン:600万ドルの脆弱性損失が補償されました
2022年1月、Multichainは多くのトークンに影響を与える重要な脆弱性を発見しました。脆弱性は迅速に修正されましたが、約604万ドルの資産が盗まれました。
脆弱性は、Multichainがユーザーが入力したトークンの合法性を検証する際に疎忽があったために発生し、すべてのトークンが特定の関数を実装しているわけではないことを考慮していませんでした。チームは迅速に行動を起こし、盗まれた資金の約50%を回収し、提案を通じて権限を取り消されたユーザーに補償を行いました。
QBridge:8000万ドルの損失はわずか2%の補償
2022年1月末、QubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者はQBridgeがホワイトリストトークンの送金を処理する際の脆弱性を利用し、BSC上で大量の偽トークンを成功裏に鋳造しました。
この事件により、Qubitプラットフォームはほぼ運営を停止し、現在も98%の盗まれた資金が償還されていないことが明らかになり、いくつかのプロジェクトが重大なセキュリティ事故に直面した際の脆弱性が浮き彫りになっています。
Meter.io:440万ドルの損失、将来の収益で補償することを約束
2022年2月、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。問題は、基盤となるコードの"誤った信頼仮定"にあり、攻撃者がトークンの転送を偽造することを可能にしました。
Meterチームは最初にMTRGトークンを補償に使用することを提案しましたが、後に新しいPASSトークンを発行することに決定しました。この計画では、将来の収益を使用してこれらのトークンを買い戻す予定ですが、まだ買い戻しは行われていません。このアプローチは、セキュリティ侵害後にユーザーを補償する際の課題を浮き彫りにしています。
Ronin:6.2億ドルの盗難事例は全額補償されました
2022年3月、Axie Infinityの背後にあるRoninチェーンが重大なセキュリティ事故に遭い、損失は最大6.2億ドルに達しました。この攻撃はソーシャルエンジニアリング手法を利用し、偽の会社採用を通じてSky Mavisのシステムに侵入しました。
盗まれた資金は回収できなかったが、Sky Mavisはユーザーへの補償のために迅速に1.5億ドルを調達した。この事例は、強力なコミュニティのサポートと迅速な対応能力が危機管理において重要であることを示している。
ウォームホール:3.26億ドルの損失が即時補償を受ける
2022年2月、クロスチェーンプロトコルWormholeが攻撃を受け、約3.26億ドルの損失が発生しました。攻撃者はSolana側のコントラクトにおける署名検証の脆弱性を利用し、大量の偽トークンを成功裏に鋳造しました。
Jump Cryptoは迅速に12万ETHを注入し、Wormholeの損失を完全に補填しました。この事例は、ユーザーの信頼を維持するための強力な資金のバックアップの重要性を示しています。
EvoDeFi:数千万ドルと見積もられ、これまでに解決されていない
2022年6月、Oasisエコシステム内のValleySwap DEXでUSDTの深刻なペッグ外れが発生し、多くのユーザーに損失をもたらしました。この問題は、使用されているクロスチェーンブリッジEVODeFiがソースチェーン上で流動性不足であることに起因しています。
このイベントは、クロスチェーンブリッジの流動性管理の重要性と、パートナーを選定する際に十分なデューデリジェンスを行う必要性を浮き彫りにしました。
ホライゾン:近1億ドルの損失、賠償案はまだ策定中
2022年6月、Harmonyの公式クロスチェーンブリッジHorizonが攻撃を受け、約1億ドルの損失が発生しました。調査によると、攻撃はプライベートキーの漏洩によって引き起こされた可能性があります。
ハーモニーは最初に補償のためのトークンミンティングを提案しましたが、コミュニティはこのアプローチを拒否しました。補償を巡る ongoing discussions は、主要なセキュリティインシデントの後にユーザーの利益とプロジェクトの持続可能性のバランスを取ることの複雑さを浮き彫りにしています。
Nomad:19億ドルが盗まれ、一部の資金が回収される見込み
2022年8月、Nomadクロスチェーンブリッジが攻撃を受け、1.9億ドルの損失を被りました。攻撃は契約のアップグレード中の設定ミスに起因し、誰でもブリッジ内の資金を引き出すことができました。
巨額の損失にもかかわらず、一部のホワイトハッカーは資金を返還する意向を示しており、資産の回収に希望をもたらしています。この事件は、システムのアップグレードを行う際に厳格なセキュリティ監査の重要性を強調しています。
まとめ
これらのクロスチェーンブリッジのセキュリティ事故を振り返ると、以下の結論が得られます:
クロスチェーンブリッジはDeFiエコシステムにおける高リスクな部分であり、トッププロジェクトであってもセキュリティ問題に直面する可能性があります。
強力な開発チームのバックグラウンドと十分な資金サポートは、セキュリティインシデントを迅速に処理するために重要です。
リアルタイム監視と迅速な対応メカニズムは、損失を効果的に減少させることができます。
コミュニティの信頼と透明なコミュニケーションは、危機管理において重要な役割を果たします。
セキュリティ監査とコードレビューは、特にシステムアップグレード時に常態化すべきです。
分散型やマルチシグネチャなどのメカニズムは、システムのセキュリティを向上させることができますが、実装時には慎重さが求められます。
ユーザーはクロスチェーンブリッジを選択する際に慎重であるべきであり、良好な記録と強力なサポートを持つプロジェクトを優先的に考慮すべきです。
クロスチェーン技術の不断の発展に伴い、安全問題はこの分野が直面する主な課題であり続けます。開発者、ユーザー、そして業界全体は警戒を保ち、安全対策を絶えず改善し、より安全で信頼性のあるクロスチェーンエコシステムを構築する必要があります。