数か月の静かな月の後、それは再び起こりました: 数億ドルの損失を伴う別のブロックチェーン ブリッジ ハッキングです。
ユーザーがブロックチェーン間でトークンを交換できるようにする仮想通貨の架け橋である Nomad は、月曜日の猛烈な攻撃を受けて、2 億ドル近くの資金が流出した最新の攻撃を受けました。
ハックは 認めた 8 月 1 日月曜日に Nomad プロジェクトの公式 Twitter アカウントによって、最初は調査中の「インシデント」として報告されました。 火曜日の早朝に発表されたさらなる声明で、Nomad はチームが「状況に対処するために 24 時間体制で取り組んでいる」と述べ、法執行機関にも通知した.
更新:私たちは状況に対処するために24時間体制で取り組んでおり、法執行機関に通知し、ブロックチェーンインテリジェンスとフォレンジックの主要企業を保持しています. 私たちの目標は、関係するアカウントを特定し、資金を追跡して回収することです。
1/2
— ノマド (⤭⛓ ) (@nomadxyz_) 2022 年 8 月 2 日
別の Twitter スレッドで、仮想通貨および Web3 投資会社 Paradigm の研究者である samczsun は、プロジェクトの主要なスマート コントラクトの構成ミスによってエクスプロイトが可能になったと説明しました。
「これが、ハッキングが非常に混乱した理由です」とsamczsunは書いています。 「[Y]Solidity や Merkle Trees などについて知る必要はありませんでした。 あなたがしなければならなかったのは、うまくいったトランザクションを見つけ、他の人のアドレスを見つけて自分のものに置き換え、それを再ブロードキャストすることだけでした。」
ブロックチェーンのセキュリティ監査会社である CertiK による別の事後調査では、このダイナミクスが独自の勢いを生み出し、上記の方法を使用して資金が盗まれているのを見た人々が、自分のアドレスを代用して攻撃を再現できるようになったと指摘しています。 これにより、1人のTwitterユーザーが 記述 「史上初の、9 桁の橋に対する分散型の集団略奪です。」
Andreessen Horowitz の仮想通貨 CISO である Nassim Eddequiouaq 氏は、より楽観的な見方で、「予防的に流出したホワイトハット」から資金を取り戻すことができると示唆しましたが、Nomad から資金を得た人々の身元はほとんど知られていないようです。
のセキュリティ チーム @a16z 暗号は調査し、根本的な原因を発見しました @nomadxyz_ ブリッジハック。 現時点では、予防的に流出したホワイトハットから資金を取り戻す以外に何もする必要はありません。
エコシステムのメンバーと協力して、将来このような問題が発生しないようにします。 https://t.co/UpIagMJctQ
— ナス – nassyweazy.eth (@nassyweazy) 2022 年 8 月 2 日
ブロックチェーン ブリッジは、頻繁に保持される資産の価値が高く、それらが実行されるスマート コントラクト コードの複雑さ (したがって潜在的な脆弱性) のために、暗号通貨業界で最も注目を集めるハッキングの標的になっています。 今年は、たった 2 回のハッキングだけで 10 億ドル近くの資金が盗まれました。2 月には、ハッカーが GitHub にアップロードされたオープンソース コードのエラーを発見し、それを悪用した後、ワームホール ブリッジ プラットフォームがハッキングされ、3 億 2,500 万ドルが支払われました。 その後、3 月にはハッカーが Ronin ブロックチェーンから約 6 億 2,500 万ドルを盗みました。 アクシー・インフィニティ 暗号ゲーム。
CertiK の CEO 兼共同創設者である Ronghuio Gu 教授は、次のように述べています。 「彼らのセキュリティ体制は鉄壁である必要があり、Web3 セキュリティの新しい開発の多くが最も必要とされる場所です。」