異なるブロックチェーン間での仮想通貨の移動を可能にする仮想通貨プロトコルを手がけるNomadのブリッジが、米国時間8月1日にハッキングを受け、1億9000万ドル(約250億円)が流出した。「分散型強盗」と呼ばれるこの攻撃では、Nomadのプログラムに不具合があったことから、スクリプトをコピー&ペーストするだけで資金を盗み出せる状態になっていた。
.jpg)
ブロックチェーンは、詳しい人でなければどれも同じに見えるかもしれないが、仮想通貨のトレーダーはイーサリアム、アバランチ、ソラナなど、複数の異なるブロックチェーンを利用することが多い。ビットコインを取得してイーサリアムのブロックチェーンで使ったり、イーサを取得してソラナで使ったりするなど、異なるブロックチェーン間でトークンを取り引きするとなると、実際はかなり複雑になることがある。こうした需要に対応するため、Nomadを含む複数の企業が「クロスチェーン」ブリッジを開発してきた。あるブロックチェーン上のスマートコントラクトに仮想通貨を預け、そのトークンを別のブロックチェーンに「ブリッジ」(橋渡し)する仕組みだ。
今回の攻撃で重要なポイントは、このプロセス全体がスマートコントラクトにロックされた仮想通貨に依存している点にある。イーサリアムのスマートコントラクトに預けられた1イーサでも、たとえばアバランチのブロックチェーンでユーザーが受け取るイーサの担保として機能する。Nomadはハッキングを受ける前、スマートコントラクトにユーザーの資金1億9000万ドル以上を置いていた。本記事執筆時点で、スマートコントラクトにロックされたままなのはわずか9000ドル(約120万円)だ。
皮肉なことに、そのスマートコントラクトへの「アップグレード」が、容易に実行可能な攻撃につながった。分散型金融は匿名性が高く、不正な手口を仕掛けられやすい。その結果、プロトコルから盗み出された金額は、ものの数時間で1億9000万ドルに達したのだ。
Messages popping up in public Discord servers of random people grabbing K-K from the Nomad bridge - all one had to do was copy the first hacker's transaction and change the address, then hit send through Etherscan. In true crypto fashion - the first decentralized robbery. https://t.co/jWV9AamBer
— FatMan (@FatManTerra) August 2, 2022
This attack against Nomad was something, I've never seen before.
— raz (@leadinscientist) August 1, 2022
People started replicating the attack after a few minutes, while the initial attacker drained out the pool systematically.
At some point, random dudes with ENS names were getting a million USDC per transactions. pic.twitter.com/KgBxAfLHtJ
技術的な側面を理解するには、イーサリアムの開発言語であるSolidityを知っている必要がある。要点は、スマートコントラクトが壊れたということだ。承認されるべきでない特定の取引が実行され、複製される可能性があった。不審な取引が始まったのは、米国太平洋時間8月1日午前9時13分頃、複数のウォレットがブリッジから100ビットコイン(約3億400万円)を抜き取った時だとみられる。そこからは誰もが、最初の攻撃者が使ったスクリプトを正確にコピー&ペーストし、スクリプト中のウォレット番号だけを自分の番号に置き換えて、それを実行するだけでよかった。ほかには、イーサや、米ドルに連動するステーブルコインのUSD Coin(USDC)など、他のトークンで資金を持ち出す人もいた。
仮想通貨投資会社Paradigmの研究者であるSam Sun氏は、この攻撃を解説する連続ツイートで、次のように書いた。「今回のハックがこれほどの混乱を招いた理由はこうだ。Solidityや(取引データを要約する)Merkle Treesなどの技術について知っている必要はなかった。必要なのは、うまくいくトランザクションを見つけ、送金先のアドレスを自分のものに置き換えて、それを再送信するだけでよかったのだ」
別のブロックチェーン研究者は、「CTRL-C、CTRL-V(コピー&ペーストのショートカットキー)のように簡単だ」とツイートした。
Nomadは状況を調査中であり、資金を追跡し回収すべくブロックチェーン分析会社や警察と協力しているとツイートしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
気候変動対策に挑む注目のクリーンテック企業【アグリ、フードテック、素材、循環資源編】 
スマホが熱い、どうすれば?原因とおすすめの対処法 
日本のキャッシュレス化の未来--「現金大国」が世界に追いつくための課題と道筋