# クロスチェーンブリッジ攻撃事件回顧:十大ケースで約20億ドルの損失ブロックチェーン技術の発展に伴い、クロスチェーンブリッジは異なるパブリックチェーンエコシステムをつなぐ重要なインフラストラクチャとなりました。しかし、大量の資金を運搬し、頻繁にクロスチェーン操作を行うため、クロスチェーンブリッジはハッカー攻撃の人気ターゲットにもなっています。本記事では、近年発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その教訓と示唆をまとめます。! [クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました](https://img-cdn.gateio.im/social/moments-1a69373c14868b6549cff6645437d962)## ChainSwap:2回の攻撃で約880万ドルの損失2021年7月、ChainSwapは短期間の9日間で2度のハッキング攻撃を受けました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃はさらに深刻で、損失は800万ドルに達し、20以上のChainSwapを使用したクロスチェーンプロジェクトに影響を与えました。調査によると、攻撃はプロトコルが署名の有効性を厳密に検証できなかったことに起因し、攻撃者が自ら生成した署名を使用して取引を行うことを許可しました。主な損失がガバナンストークンであるため、ChainSwapと複数の影響を受けたプロジェクトはスナップショットを実施し、保有者と流動性提供者の損失を補償するためにトークンを再発行することを選択しました。## ポリネットワーク:6.1億ドルの資産が盗まれた後、全額回収2021年8月、クロスチェーン相互運用プロトコルPoly Networkは、当時最大規模のDeFi攻撃に遭い、イーサリアム、バイナンススマートチェーン、Polygonの3つのネットワークで合計約6.1億ドルの資産を失いました。攻撃の主な原因は、契約の権限管理ロジックに脆弱性が存在することです。攻撃者は目標チェーンの検証者アドレスを成功裏に変更し、資産の転出操作に対する署名検証を行うことができました。攻撃の規模は巨大でしたが、最終的に攻撃者は全ての資金を返還し、Poly Networkもこれを「ホワイトハット」ハッカーと称し、彼を最高安全顧問に雇う提案をしました。## マルチチェーン:600万ドルの資産が盗まれ、約50%が回収されました2022年1月、Multichainは複数のトークンに影響を与える重要な脆弱性を発見しました。脆弱性は修正されましたが、約600万ドルのWETHとAVAXが盗まれました。安全分析によると、攻撃はMultichainがユーザーの入力したトークンの合法性を検証する際に問題があり、すべての基盤となるトークンがpermit関数を実装しているわけではないことを考慮していなかったことに起因しています。チームは盗まれた資金のほぼ50%を回収することに成功し、賠償案を提出しましたが、期限内に承認を解除しなかったユーザーの損失については責任を負わないとしています。## QBridge:8000万ドルの損失、わずか2%の補償2022年1月末、貸出プロトコルQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失が発生しました。攻撃者は、QBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを再確認しなかった脆弱性を利用し、BSC上で大量のxETHトークンを無から鋳造し、これらのトークンを使ってQubitから他の資産を借り出しました。現在、Qubitの使用率は大幅に低下しており、公式データによると98%の盗まれた資金がまだ補償されていない。## Meter.io:440万ドルの損失、将来の収益で補償することを約束2022年2月、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。公式は、問題は基盤となるコードに対する「誤った信頼仮定」にあると述べており、これによりハッカーはBNBとETHの送金を偽造することができました。Meterチームは当初、MTRGトークンを使用して損失を補償する計画でしたが、その後、コミュニティ投票により新しいPASSトークンを発行して賠償することが決定され、将来の収益でPASSを買い戻すことを約束しました。しかし、現在のところ、いかなる買い戻し操作も行われていません。## ロニン:6.2億ドルが盗まれ、全額賠償済み2022年3月、Axie Infinity背後のRoninチェーンが重大な攻撃を受け、6.2億ドルもの損失を被りました。興味深いことに、攻撃は3月23日に発生しましたが、発見されるまでに6日間もかかりました。調査によると、攻撃は巧妙に計画されたソーシャルエンジニアリング攻撃に起因しています。攻撃者は、偽の会社の採用を通じてSky Mavisの従業員の信頼を得ることに成功し、最終的にRoninネットワークの複数の検証ノードを制御しました。盗まれた資金は回収できなかったが、Sky Mavisは新たな資金調達を通じて1.5億ドルを集め、ユーザーの損失を補償することにした。注意すべきは、補償期間中にETHの価格が大幅に下落したため、実際の補償価値は盗まれた時の資産価値を大きく下回っている。## ワームホール:3.26億ドルの損失、迅速な補償を得る2022年2月初、クロスチェーン相互運用プロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコア契約における署名検証の脆弱性を利用し、成功裏に"ガーディアン"メッセージを偽造して大量のwhETHを鋳造しました。幸いにも、Jump CryptoはWormholeに12万ETHを迅速に注入し、全ての損失を補填し、Wormholeは迅速に運営を再開することができました。## EvoDeFi:数千万ドルの損失を見込んでおり、解決されていません2022年6月、OasisエコシステムDEX ValleySwapでUSDTが深刻なペッグ外れの現象を示しました。問題の根源は、使用されているクロスチェーンブリッジEVODeFiのソースチェーンにおける流動性不足にあります。具体的な損失額は不明ですが、千万ドル規模と推定されています。残念なことに、関係者は有効な解決策を提供していません。ValleySwapとEVODeFiの公式ソーシャルメディアアカウントも事件後に更新を停止しており、実質的にはプロジェクト側が放棄したことに等しいです。## Horizon:近1億ドルの損失、賠償プランはまだ策定中2022年6月、Harmonyの公式クロスチェーンブリッジHorizonが攻撃され、約1億ドルの資金損失が発生しました。Harmonyの創設者は、攻撃はおそらく秘密鍵の漏洩によるものであると認めました。Harmonyは、3年間でユーザーの損失を補償するためにトークンを増発する提案をしましたが、コミュニティの合意を得ることができませんでした。現在、チームは補償プランを再策定しています。## Nomad:1.9億ドルが盗まれ、一部の資金が回収される見込み2022年8月、Nomadクロスチェーンブリッジは重大なセキュリティ事故に遭い、1.9億ドルの資金が流出しました。分析によると、問題は契約のアップグレード中の初期化エラーに起因し、誰でも簡単にブリッジから資金を引き出すことができる状態になっていました。攻撃には1251のアドレスが関与しており、そのうちENSアドレスは総額の38%を占めています。プロジェクト側から明確な補償プランはまだ提示されていませんが、一部のホワイトハットハッカーが資金を返還する意向を示しており、問題解決の一筋の希望をもたらしています。## まとめと示唆これらのクロスチェーンブリッジ攻撃事件を振り返ると、以下の点が示唆されます:1. クロスチェーンブリッジは高リスク分野であり、知名なプロジェクトであっても安全上の懸念が存在する可能性があります。2. 強力な開発チームと十分な資本のサポートは、事故後の処理にとって重要です。Poly Network、Ronin、Wormholeのようなプロジェクトは、重大な損失を被った後、迅速に資産を取り戻すか、全額賠償を行うことができました。3. リアルタイム監視と迅速な対応メカニズムは非常に重要です。Hop ProtocolやStarGateのようなプロジェクトは、疑わしい活動を迅速に発見し対処することで、潜在的な攻撃を成功裏に阻止しました。4. ユーザーはクロスチェーンブリッジを選択する際には慎重であるべきであり、資金リスクを低減するために実力のあるチームが開発したプロジェクトを優先的に考慮すべきです。5. 定期的なセキュリティ監査とバグバウンティプログラムは、潜在的な問題を発見し修正するために重要です。6. クロスチェーンブリッジ開発チームは過去の攻撃事例を常に学び、安全対策を強化すべきであり、特に契約のアップグレードや権限管理において。総じて、クロスチェーンの需要が増加するにつれて、クロスチェーンブリッジの安全性は引き続きブロックチェーン業界の重要な話題となるでしょう。開発者、ユーザー、そして全体のエコシステムは、より安全で信頼性の高いクロスチェーンインフラを構築するために共同で努力する必要があります。
十大クロスチェーンブリッジ攻撃回顧:近20億ドル損失背後の教訓と啓示
クロスチェーンブリッジ攻撃事件回顧:十大ケースで約20億ドルの損失
ブロックチェーン技術の発展に伴い、クロスチェーンブリッジは異なるパブリックチェーンエコシステムをつなぐ重要なインフラストラクチャとなりました。しかし、大量の資金を運搬し、頻繁にクロスチェーン操作を行うため、クロスチェーンブリッジはハッカー攻撃の人気ターゲットにもなっています。本記事では、近年発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その教訓と示唆をまとめます。
! クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました
ChainSwap:2回の攻撃で約880万ドルの損失
2021年7月、ChainSwapは短期間の9日間で2度のハッキング攻撃を受けました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃はさらに深刻で、損失は800万ドルに達し、20以上のChainSwapを使用したクロスチェーンプロジェクトに影響を与えました。
調査によると、攻撃はプロトコルが署名の有効性を厳密に検証できなかったことに起因し、攻撃者が自ら生成した署名を使用して取引を行うことを許可しました。主な損失がガバナンストークンであるため、ChainSwapと複数の影響を受けたプロジェクトはスナップショットを実施し、保有者と流動性提供者の損失を補償するためにトークンを再発行することを選択しました。
ポリネットワーク:6.1億ドルの資産が盗まれた後、全額回収
2021年8月、クロスチェーン相互運用プロトコルPoly Networkは、当時最大規模のDeFi攻撃に遭い、イーサリアム、バイナンススマートチェーン、Polygonの3つのネットワークで合計約6.1億ドルの資産を失いました。
攻撃の主な原因は、契約の権限管理ロジックに脆弱性が存在することです。攻撃者は目標チェーンの検証者アドレスを成功裏に変更し、資産の転出操作に対する署名検証を行うことができました。攻撃の規模は巨大でしたが、最終的に攻撃者は全ての資金を返還し、Poly Networkもこれを「ホワイトハット」ハッカーと称し、彼を最高安全顧問に雇う提案をしました。
マルチチェーン:600万ドルの資産が盗まれ、約50%が回収されました
2022年1月、Multichainは複数のトークンに影響を与える重要な脆弱性を発見しました。脆弱性は修正されましたが、約600万ドルのWETHとAVAXが盗まれました。
安全分析によると、攻撃はMultichainがユーザーの入力したトークンの合法性を検証する際に問題があり、すべての基盤となるトークンがpermit関数を実装しているわけではないことを考慮していなかったことに起因しています。チームは盗まれた資金のほぼ50%を回収することに成功し、賠償案を提出しましたが、期限内に承認を解除しなかったユーザーの損失については責任を負わないとしています。
QBridge:8000万ドルの損失、わずか2%の補償
2022年1月末、貸出プロトコルQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失が発生しました。攻撃者は、QBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを再確認しなかった脆弱性を利用し、BSC上で大量のxETHトークンを無から鋳造し、これらのトークンを使ってQubitから他の資産を借り出しました。
現在、Qubitの使用率は大幅に低下しており、公式データによると98%の盗まれた資金がまだ補償されていない。
Meter.io:440万ドルの損失、将来の収益で補償することを約束
2022年2月、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。公式は、問題は基盤となるコードに対する「誤った信頼仮定」にあると述べており、これによりハッカーはBNBとETHの送金を偽造することができました。
Meterチームは当初、MTRGトークンを使用して損失を補償する計画でしたが、その後、コミュニティ投票により新しいPASSトークンを発行して賠償することが決定され、将来の収益でPASSを買い戻すことを約束しました。しかし、現在のところ、いかなる買い戻し操作も行われていません。
ロニン:6.2億ドルが盗まれ、全額賠償済み
2022年3月、Axie Infinity背後のRoninチェーンが重大な攻撃を受け、6.2億ドルもの損失を被りました。興味深いことに、攻撃は3月23日に発生しましたが、発見されるまでに6日間もかかりました。
調査によると、攻撃は巧妙に計画されたソーシャルエンジニアリング攻撃に起因しています。攻撃者は、偽の会社の採用を通じてSky Mavisの従業員の信頼を得ることに成功し、最終的にRoninネットワークの複数の検証ノードを制御しました。
盗まれた資金は回収できなかったが、Sky Mavisは新たな資金調達を通じて1.5億ドルを集め、ユーザーの損失を補償することにした。注意すべきは、補償期間中にETHの価格が大幅に下落したため、実際の補償価値は盗まれた時の資産価値を大きく下回っている。
ワームホール:3.26億ドルの損失、迅速な補償を得る
2022年2月初、クロスチェーン相互運用プロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコア契約における署名検証の脆弱性を利用し、成功裏に"ガーディアン"メッセージを偽造して大量のwhETHを鋳造しました。
幸いにも、Jump CryptoはWormholeに12万ETHを迅速に注入し、全ての損失を補填し、Wormholeは迅速に運営を再開することができました。
EvoDeFi:数千万ドルの損失を見込んでおり、解決されていません
2022年6月、OasisエコシステムDEX ValleySwapでUSDTが深刻なペッグ外れの現象を示しました。問題の根源は、使用されているクロスチェーンブリッジEVODeFiのソースチェーンにおける流動性不足にあります。
具体的な損失額は不明ですが、千万ドル規模と推定されています。残念なことに、関係者は有効な解決策を提供していません。ValleySwapとEVODeFiの公式ソーシャルメディアアカウントも事件後に更新を停止しており、実質的にはプロジェクト側が放棄したことに等しいです。
Horizon:近1億ドルの損失、賠償プランはまだ策定中
2022年6月、Harmonyの公式クロスチェーンブリッジHorizonが攻撃され、約1億ドルの資金損失が発生しました。Harmonyの創設者は、攻撃はおそらく秘密鍵の漏洩によるものであると認めました。
Harmonyは、3年間でユーザーの損失を補償するためにトークンを増発する提案をしましたが、コミュニティの合意を得ることができませんでした。現在、チームは補償プランを再策定しています。
Nomad:1.9億ドルが盗まれ、一部の資金が回収される見込み
2022年8月、Nomadクロスチェーンブリッジは重大なセキュリティ事故に遭い、1.9億ドルの資金が流出しました。分析によると、問題は契約のアップグレード中の初期化エラーに起因し、誰でも簡単にブリッジから資金を引き出すことができる状態になっていました。
攻撃には1251のアドレスが関与しており、そのうちENSアドレスは総額の38%を占めています。プロジェクト側から明確な補償プランはまだ提示されていませんが、一部のホワイトハットハッカーが資金を返還する意向を示しており、問題解決の一筋の希望をもたらしています。
まとめと示唆
これらのクロスチェーンブリッジ攻撃事件を振り返ると、以下の点が示唆されます:
クロスチェーンブリッジは高リスク分野であり、知名なプロジェクトであっても安全上の懸念が存在する可能性があります。
強力な開発チームと十分な資本のサポートは、事故後の処理にとって重要です。Poly Network、Ronin、Wormholeのようなプロジェクトは、重大な損失を被った後、迅速に資産を取り戻すか、全額賠償を行うことができました。
リアルタイム監視と迅速な対応メカニズムは非常に重要です。Hop ProtocolやStarGateのようなプロジェクトは、疑わしい活動を迅速に発見し対処することで、潜在的な攻撃を成功裏に阻止しました。
ユーザーはクロスチェーンブリッジを選択する際には慎重であるべきであり、資金リスクを低減するために実力のあるチームが開発したプロジェクトを優先的に考慮すべきです。
定期的なセキュリティ監査とバグバウンティプログラムは、潜在的な問題を発見し修正するために重要です。
クロスチェーンブリッジ開発チームは過去の攻撃事例を常に学び、安全対策を強化すべきであり、特に契約のアップグレードや権限管理において。
総じて、クロスチェーンの需要が増加するにつれて、クロスチェーンブリッジの安全性は引き続きブロックチェーン業界の重要な話題となるでしょう。開発者、ユーザー、そして全体のエコシステムは、より安全で信頼性の高いクロスチェーンインフラを構築するために共同で努力する必要があります。