# クロスチェーンブリッジ安全事故回顧:10件重大攻撃ケース分析ブロックチェーンエコシステムには多くのパブリックチェーンがありますが、主流の資産が不足しているため、多くのプロジェクトはクロスチェーンブリッジを利用してイーサリアムなどの主要なパブリックチェーンから資産を取得する必要があります。しかし最近、DeFi分野でのセキュリティ事故が頻発しており、クロスチェーンブリッジはその高額な資金の流動性と頻繁な操作のため、攻撃者の主要なターゲットとなっています。本記事では、過去に発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、開発チームに常にセキュリティリスクに警戒するよう促します。特に、バックグラウンドが強力なクロスチェーンブリッジプロジェクトはセキュリティ事故に遭遇した後、資産を回収したりユーザーに補償を提供したりする能力が高いことが多いため、ユーザーはより強力なクロスチェーンブリッジを選ぶことでより安全になるかもしれません。! [クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました](https://img-cdn.gateio.im/social/moments-1a69373c14868b6549cff6645437d962)## ChainSwap:800万ドルの損失、トークンの再発行2021年7月、ChainSwapは連続して2回のハッキング攻撃を受け、初回の損失は約80万ドル、2回目の損失は800万ドルに達しました。2回目の攻撃は影響範囲が広く、20以上のChainSwapを利用してクロスチェーンを行うプロジェクトが影響を受けました。調査の結果、事故の原因はプロトコルが署名の有効性を厳密に検証していなかったため、攻撃者が自ら生成した署名で取引を承認できるようになったことです。損失は主にプロジェクト側のガバナンストークンに関わるため、ChainSwapを含む複数のプロジェクトがスナップショットを実施し、新しいトークンを発行することを決定し、トークン保有者と流動性提供者を補償します。## ポリネットワーク:6.1億ドルが盗まれ、全額回収2021年8月10日、クロスチェーン相互運用プロトコルPoly Networkが大規模な攻撃を受け、イーサリアム、バイナンススマートチェーン、Polygonネットワークでそれぞれ2.5億、2.7億、8500万ドルの資産を失い、総損失は6.1億ドルに達しました。攻撃は主にPoly Networkの契約権限管理ロジックの脆弱性を利用しました。攻撃者はターゲットチェーンのバリデーターアドレスを成功裏に変更し、資産移転の署名権限を取得しました。攻撃者は初めにプライバシートークンXMRを資金源として使用しましたが、最終的には盗まれた資金を全額返還することを選択しました。Poly Networkはその後、彼を「ホワイトハット」ハッカーと呼び、会社の最高安全顧問として採用することを提案しました。## マルチチェーン:600万ドルの損失、一部の資金が回収されました2022年1月、Multichainは複数のトークンに影響を与える重要な脆弱性を発見しました。脆弱性は修正されましたが、権限を迅速に取り消さなかった一部のユーザーは損失を被りました。統計によると、合計1889.6612 WETHと833.4191 AVAXが盗まれ、当時の価格で約604万ドル相当です。慢雾セキュリティチームの分析によると、今回の事故はMultichainがユーザーから送信されたTokenの合法性を検証する際に見落としがあり、すべてのunderlying代币がpermit関数を実装しているわけではないことを考慮していなかったことが原因です。公式の調査報告が発表された時点で、盗まれた資金の約50%が回収されました。チームは資金返還の提案を行いましたが、2月18日以降の損失については賠償しないとのことです。## QBridge:8000万ドルの損失、支払いの遅れ2022年1月28日、借貸協議QubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者は、QBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを再確認していなかった脆弱性を利用し、BSC上で大量のxETHトークンを無から鋳造し、それらのトークンを使用してQubitから他の資産を借り出しました。現在、Qubitの使用率は大幅に低下しており、公式データによると98%の盗まれた資金がまだ補償されていない。## Meter.io:440万ドルの損失、将来の収益で補填することを約束2022年2月6日、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失を被った。Meterの公式によると、問題は拡張されたソースコードの"誤った信頼仮定"にあり、攻撃者がBNBとETHの転送を偽造できるようになった。Meterは最初にMTRGトークンを使用してユーザーの損失を補償する計画でしたが、コミュニティの投票を経て新しいPASSトークンを発行して補償することを決定し、将来の利益でPASSトークンを買い戻すことを約束しました。しかし、現在のところ、いかなる買い戻し操作も行われていません。## ロニン:6.2億ドルの損失、全額賠償済み2022年3月、Axie Infinityの背後にあるRoninチェーンが大規模な資金盗難に遭い、損失は620百万ドルに達しました。この攻撃は、巧妙に計画されたソーシャルエンジニアリング攻撃に起因しており、攻撃者はリクルート会社に偽装してSky Mavisのシステムに成功裏に侵入し、最終的にRoninネットワークの複数の検証ノードを制御しました。盗まれた資金は回収できませんでしたが、Sky Mavisはバイナンス主導の1.5億ドルの資金調達を通じてユーザーに補償を提供しました。攻撃から補償期間中にETHの価格が大幅に下落したため、実際の補償額は攻撃時よりも減少していることに注意が必要です。## ウォームホール:3.26億ドルの損失、全額賠償済み2022年2月3日、クロスチェーンプロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコアコントラクトの署名検証の脆弱性を利用し、"ガーディアン"メッセージを偽造してwhETHを鋳造しました。幸いなことに、Jump Crypto(Wormholeの開発会社Certus Oneの買収者)は、Wormholeの損失を補い、運用を再開するために120,000ETHを迅速に注入しました。## EvoDeFi:数千万ドルの推定損失、未解決2022年6月、OasisエコシステムのDEX ValleySwapでUSDTが大幅にペッグを外し、多くのユーザーが損失を被りました。問題は、使用されていたクロスチェーンブリッジEVODeFiのソースチェーンでの流動性不足に起因しています。EVODeFiは問題をFUDによるパニックに帰しているが、Oasis公式はValleySwapとEvoDeFiとの関係を明確に切り離し、EvoDeFiが高リスクであり、監査を受けていないことを指摘しています。現在、ユーザーの損失に対する解決策はなく、ValleySwapとEVODeFiの公式チャネルは更新を停止しており、プロジェクトチームが逃げた疑いがあります。## Horizon:約1億ドルの損害、補償計画はまだ策定中2022年6月24日、Harmony公式クロスチェーンブリッジHorizonが攻撃を受け、約1億ドルの資金損失が発生しました。Harmonyの創設者Stephen Tseは、攻撃は「秘密鍵の漏洩」に起因している可能性が高いと認めました。盗まれた資産は、BUSD、USDC、ETH、WBTCなどのさまざまなトークンが含まれています。Harmonyは、3年以内にユーザーの損失を補償するためにONEトークンを増発することを提案しましたが、コミュニティの一致した支持を得られませんでした。現在、プロジェクトチームは補償プランを再策定しています。## ノマド:1.9億ドルの損失、一部の資金が回収される見込み2022年8月2日、Nomadクロスチェーンブリッジは重大なセキュリティ事故に遭遇し、1.9億ドルの流動性が迅速に失われました。この事故は、別のLayer2相互運用性プロトコルであるConnextにも影響を及ぼし、約334万ドルの連帯損失を引き起こしました。専門家の分析によると、今回の事故はNomadが契約のアップグレード中に信頼できるルートを誤って0x00に初期化したことに起因し、誰でも有効な取引を利用してクロスチェーンブリッジ資金を引き出すことができるようになりました。現在、一部のホワイトハットハッカーは資金を返還する意向を示していますが、プロジェクト側はまだ明確な賠償案を示していません。## まとめクロスチェーンブリッジの安全事故の頻発は、この分野の高リスク性を浮き彫りにしています。市場をリードするクロスチェーンブリッジであるMultichain、Wormhole、Poly Networkでさえも安全問題に直面したことがあり、これは私たちにどんなクロスチェーンブリッジも安全な脅威にさらされる可能性があることを警告しています。注目すべきは、背景が強く、資金力のあるクロスチェーンブリッジプロジェクトが安全事故に遭遇した場合、しばしば資産を回収したり、ユーザーに補償を提供する能力が高いことです。例えば、Poly Network、Ronin Network、Wormholeは大規模な資金盗難に遭った後、いずれも資金を成功裏に回収したり、全額払い戻しを行うことができました。さらに、チームのリアルタイム監視と迅速な対応能力も非常に重要です。Hop ProtocolやStarGateのようなプロジェクトは、疑わしい活動の報告を受けた後、迅速に行動を起こし、潜在的な攻撃を成功裏に阻止しました。これは、クロスチェーンブリッジのセキュリティを維持する上で、継続的な監視と迅速な反応の重要性を強調しています。
10件の重大なクロスチェーンブリッジ攻撃の事例分析:安全リスクと資金回収
クロスチェーンブリッジ安全事故回顧:10件重大攻撃ケース分析
ブロックチェーンエコシステムには多くのパブリックチェーンがありますが、主流の資産が不足しているため、多くのプロジェクトはクロスチェーンブリッジを利用してイーサリアムなどの主要なパブリックチェーンから資産を取得する必要があります。しかし最近、DeFi分野でのセキュリティ事故が頻発しており、クロスチェーンブリッジはその高額な資金の流動性と頻繁な操作のため、攻撃者の主要なターゲットとなっています。本記事では、過去に発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、開発チームに常にセキュリティリスクに警戒するよう促します。特に、バックグラウンドが強力なクロスチェーンブリッジプロジェクトはセキュリティ事故に遭遇した後、資産を回収したりユーザーに補償を提供したりする能力が高いことが多いため、ユーザーはより強力なクロスチェーンブリッジを選ぶことでより安全になるかもしれません。
! クロスチェーンブリッジの歴史における上位10件の攻撃の目録:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました
ChainSwap:800万ドルの損失、トークンの再発行
2021年7月、ChainSwapは連続して2回のハッキング攻撃を受け、初回の損失は約80万ドル、2回目の損失は800万ドルに達しました。2回目の攻撃は影響範囲が広く、20以上のChainSwapを利用してクロスチェーンを行うプロジェクトが影響を受けました。
調査の結果、事故の原因はプロトコルが署名の有効性を厳密に検証していなかったため、攻撃者が自ら生成した署名で取引を承認できるようになったことです。損失は主にプロジェクト側のガバナンストークンに関わるため、ChainSwapを含む複数のプロジェクトがスナップショットを実施し、新しいトークンを発行することを決定し、トークン保有者と流動性提供者を補償します。
ポリネットワーク:6.1億ドルが盗まれ、全額回収
2021年8月10日、クロスチェーン相互運用プロトコルPoly Networkが大規模な攻撃を受け、イーサリアム、バイナンススマートチェーン、Polygonネットワークでそれぞれ2.5億、2.7億、8500万ドルの資産を失い、総損失は6.1億ドルに達しました。
攻撃は主にPoly Networkの契約権限管理ロジックの脆弱性を利用しました。攻撃者はターゲットチェーンのバリデーターアドレスを成功裏に変更し、資産移転の署名権限を取得しました。攻撃者は初めにプライバシートークンXMRを資金源として使用しましたが、最終的には盗まれた資金を全額返還することを選択しました。Poly Networkはその後、彼を「ホワイトハット」ハッカーと呼び、会社の最高安全顧問として採用することを提案しました。
マルチチェーン:600万ドルの損失、一部の資金が回収されました
2022年1月、Multichainは複数のトークンに影響を与える重要な脆弱性を発見しました。脆弱性は修正されましたが、権限を迅速に取り消さなかった一部のユーザーは損失を被りました。統計によると、合計1889.6612 WETHと833.4191 AVAXが盗まれ、当時の価格で約604万ドル相当です。
慢雾セキュリティチームの分析によると、今回の事故はMultichainがユーザーから送信されたTokenの合法性を検証する際に見落としがあり、すべてのunderlying代币がpermit関数を実装しているわけではないことを考慮していなかったことが原因です。公式の調査報告が発表された時点で、盗まれた資金の約50%が回収されました。チームは資金返還の提案を行いましたが、2月18日以降の損失については賠償しないとのことです。
QBridge:8000万ドルの損失、支払いの遅れ
2022年1月28日、借貸協議QubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者は、QBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを再確認していなかった脆弱性を利用し、BSC上で大量のxETHトークンを無から鋳造し、それらのトークンを使用してQubitから他の資産を借り出しました。
現在、Qubitの使用率は大幅に低下しており、公式データによると98%の盗まれた資金がまだ補償されていない。
Meter.io:440万ドルの損失、将来の収益で補填することを約束
2022年2月6日、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失を被った。Meterの公式によると、問題は拡張されたソースコードの"誤った信頼仮定"にあり、攻撃者がBNBとETHの転送を偽造できるようになった。
Meterは最初にMTRGトークンを使用してユーザーの損失を補償する計画でしたが、コミュニティの投票を経て新しいPASSトークンを発行して補償することを決定し、将来の利益でPASSトークンを買い戻すことを約束しました。しかし、現在のところ、いかなる買い戻し操作も行われていません。
ロニン:6.2億ドルの損失、全額賠償済み
2022年3月、Axie Infinityの背後にあるRoninチェーンが大規模な資金盗難に遭い、損失は620百万ドルに達しました。この攻撃は、巧妙に計画されたソーシャルエンジニアリング攻撃に起因しており、攻撃者はリクルート会社に偽装してSky Mavisのシステムに成功裏に侵入し、最終的にRoninネットワークの複数の検証ノードを制御しました。
盗まれた資金は回収できませんでしたが、Sky Mavisはバイナンス主導の1.5億ドルの資金調達を通じてユーザーに補償を提供しました。攻撃から補償期間中にETHの価格が大幅に下落したため、実際の補償額は攻撃時よりも減少していることに注意が必要です。
ウォームホール:3.26億ドルの損失、全額賠償済み
2022年2月3日、クロスチェーンプロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコアコントラクトの署名検証の脆弱性を利用し、"ガーディアン"メッセージを偽造してwhETHを鋳造しました。
幸いなことに、Jump Crypto(Wormholeの開発会社Certus Oneの買収者)は、Wormholeの損失を補い、運用を再開するために120,000ETHを迅速に注入しました。
EvoDeFi:数千万ドルの推定損失、未解決
2022年6月、OasisエコシステムのDEX ValleySwapでUSDTが大幅にペッグを外し、多くのユーザーが損失を被りました。問題は、使用されていたクロスチェーンブリッジEVODeFiのソースチェーンでの流動性不足に起因しています。EVODeFiは問題をFUDによるパニックに帰しているが、Oasis公式はValleySwapとEvoDeFiとの関係を明確に切り離し、EvoDeFiが高リスクであり、監査を受けていないことを指摘しています。
現在、ユーザーの損失に対する解決策はなく、ValleySwapとEVODeFiの公式チャネルは更新を停止しており、プロジェクトチームが逃げた疑いがあります。
Horizon:約1億ドルの損害、補償計画はまだ策定中
2022年6月24日、Harmony公式クロスチェーンブリッジHorizonが攻撃を受け、約1億ドルの資金損失が発生しました。Harmonyの創設者Stephen Tseは、攻撃は「秘密鍵の漏洩」に起因している可能性が高いと認めました。盗まれた資産は、BUSD、USDC、ETH、WBTCなどのさまざまなトークンが含まれています。
Harmonyは、3年以内にユーザーの損失を補償するためにONEトークンを増発することを提案しましたが、コミュニティの一致した支持を得られませんでした。現在、プロジェクトチームは補償プランを再策定しています。
ノマド:1.9億ドルの損失、一部の資金が回収される見込み
2022年8月2日、Nomadクロスチェーンブリッジは重大なセキュリティ事故に遭遇し、1.9億ドルの流動性が迅速に失われました。この事故は、別のLayer2相互運用性プロトコルであるConnextにも影響を及ぼし、約334万ドルの連帯損失を引き起こしました。
専門家の分析によると、今回の事故はNomadが契約のアップグレード中に信頼できるルートを誤って0x00に初期化したことに起因し、誰でも有効な取引を利用してクロスチェーンブリッジ資金を引き出すことができるようになりました。現在、一部のホワイトハットハッカーは資金を返還する意向を示していますが、プロジェクト側はまだ明確な賠償案を示していません。
まとめ
クロスチェーンブリッジの安全事故の頻発は、この分野の高リスク性を浮き彫りにしています。市場をリードするクロスチェーンブリッジであるMultichain、Wormhole、Poly Networkでさえも安全問題に直面したことがあり、これは私たちにどんなクロスチェーンブリッジも安全な脅威にさらされる可能性があることを警告しています。
注目すべきは、背景が強く、資金力のあるクロスチェーンブリッジプロジェクトが安全事故に遭遇した場合、しばしば資産を回収したり、ユーザーに補償を提供する能力が高いことです。例えば、Poly Network、Ronin Network、Wormholeは大規模な資金盗難に遭った後、いずれも資金を成功裏に回収したり、全額払い戻しを行うことができました。
さらに、チームのリアルタイム監視と迅速な対応能力も非常に重要です。Hop ProtocolやStarGateのようなプロジェクトは、疑わしい活動の報告を受けた後、迅速に行動を起こし、潜在的な攻撃を成功裏に阻止しました。これは、クロスチェーンブリッジのセキュリティを維持する上で、継続的な監視と迅速な反応の重要性を強調しています。