# クロスチェーンブリッジ安全事件回顧:超19億ドル資金が影響を受け、15.5億ドルが賠償または回収されたブロックチェーンエコシステムには多くのパブリックチェーンが存在しますが、主要な資産が不足しているため、クロスチェーンブリッジを介してイーサリアムなどの主要なパブリックチェーンから資産を取得する必要があります。最近、分散型金融(DeFi)領域での安全事故が頻発しており、クロスチェーンブリッジは大量の資金移動により攻撃者の主要なターゲットとなっています。本稿では、過去に発生した10件の大規模なクロスチェーンブリッジ攻撃事件を振り返ります。これらの事件は合計で190億ドル以上の資金が関与しており、そのうち約155億ドルが賠償または回収されています。! [クロスチェーンブリッジの歴史における上位10の攻撃のインベントリ:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました](https://img-cdn.gateio.im/social/moments-b926d16b97df34c932d07162a8f91172)## ChainSwap: 800万ドルの損失、トークンの再発行で対処2021年7月、ChainSwapはわずか9日間で2回のハッキング攻撃に遭いました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃ではさらに深刻で、800万ドルに達し、20を超えるChainSwapを使用してクロスチェーン操作を行っているプロジェクトに影響を与えました。調査によると、事故の原因は契約が署名の有効性を厳格に検証していなかったため、攻撃者が自分で生成した署名を使用して取引を完了できたことにあります。損失は主にプロジェクト側のガバナンストークンに関わっており、ChainSwapを含む複数の影響を受けたプロジェクトはスナップショットを行い、新しいトークンを発行してトークン保有者や流動性提供者に補償することを選択しました。## ポリネットワーク:6.1億ドルの盗まれた資金が全て回収されました2021年8月10日、クロスチェーン相互運用プロトコルPoly Networkが大規模な攻撃を受け、イーサリアム、バイナンススマートチェーン、Polygonネットワークでそれぞれ2.5億、2.7億、8500万ドルの資産を失い、合計約6.1億ドルに達しました。攻撃は主にPoly Networkの契約権限管理ロジックの脆弱性を利用しました。攻撃者はターゲットチェーン上のバリデーターアドレスを成功裏に変更し、資産移転操作を制御しました。攻撃者は最初にプライバシートークンを使用して資金を準備しましたが、最終的には盗まれた資金全額を返還することを選択しました。Poly Networkはその後、これを「ホワイトハット」ハッカーと呼び、彼を最高安全顧問として雇うことを提案しました。## マルチチェーン:600万ドルの損失、一部の資金は補償済み2022年1月、Multichainは多くのトークンに影響を与える重要な脆弱性を発見しました。脆弱性は修正されましたが、一部のユーザーの資産は依然としてリスクにさらされています。公式の報告によると、7962のユーザーアドレスが影響を受け、そのうち3101のアドレスは適時に権限を撤回していません。盗まれた資金には1889.6612 WETHと833.4191 AVAXが含まれ、当時の価格で約604万ドルに相当します。セキュリティチームの分析によると、脆弱性はMultichainがユーザーの入力トークンの合法性を検証する際の怠慢に起因しています。報告書の発表時点で、盗まれた資金の約50%が回収されました。Multichainはこの部分の資金を契約の承認を取り消したユーザーに返還することを提案しましたが、その後の損失に対しては補償しないとしています。## QBridge:8000万ドルの損失、わずか2%が補償を受ける2022年1月28日、貸出プラットフォームQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者はQBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを二重チェックしていない脆弱性を利用し、BSCネットワーク上で大量のxETHトークンを無から鋳造し、これらのトークンを使ってQubitから他の資産を借り出しました。現在、Qubitの使用率は大幅に低下しており、公式データによると98%の盗まれた資金はまだ補償されていません。## Meter.io:440万ドルの損失、将来の収益で補填することを約束2022年2月6日、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失を被りました。公式は問題が基盤となるコードの「誤った信頼仮定」にあるとし、攻撃者がBNBとETHの送金を偽造できるようになったと述べました。Meterは当初、MTRGトークンを使用してユーザーの損失を補償する計画でしたが、その後、新しいPASSトークンを発行して補償することに決定し、将来の収益を使用してこれらのトークンを買い戻すことを約束しました。しかし、現時点ではいかなる買い戻し操作も行われていません。## ロニン:6.2億ドルの損失、全額補償済み2022年3月末、ブロックチェーンゲームAxie Infinityの背後にあるRoninネットワークが重大なセキュリティ事故に遭い、約6.2億ドルの損失を被りました。攻撃者はソーシャルエンジニアリング手法を用いてRoninネットワークの9つのバリデーターノードのうち5つの制御権を取得し、ネットワークを操作しました。盗まれた資金は回収できませんでしたが、Axie Infinityの開発者であるSky Mavisは、Binanceのリードにより1.5億ドルの資金調達を完了し、ユーザーの損失を補償するために使用します。6月末にRoninクロスチェーンブリッジが再び稼働し、ユーザーは補償を受けることができます。しかし、この期間中にETHの価格が大幅に下落したため、補償の実際の価値は大幅に減少しました。## ワームホール:3.26億ドルの損失、全額賠償済み2022年2月初、クロスチェーンプロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコアコントラクトにおける署名検証の脆弱性を利用し、"ガーディアン"メッセージを偽造して大量のwhETHを鋳造しました。事故後、Jump Crypto(Wormholeの開発会社Certus Oneの買収者)は、すべての損失をカバーするためにすぐに120,000ETHを注入し、その後、Wormholeは通常の動作に戻りました。## EvoDeFi:数千万ドルの推定損失、未解決2022年6月初、Oasisエコシステムの分散型取引所ValleySwapでUSDTが深刻なペッグ外れが発生しました。この問題は、使用されているクロスチェーンブリッジEVODeFiがソースチェーン上で流動性不足であることに起因しています。具体的な損失額は公表されていませんが、数千万ドルの規模であると推定されています。事故発生後、各方面の反応はさまざまです。EVODeFiは市場の恐怖を非難し、Oasisの公式はValleySwapやEvoDeFiとは無関係であり、EvoDeFiには高いリスクが存在することを強調しました。ユーザーの損失は今まで何の補償も受けておらず、関連プロジェクト側はすでに運営を停止しているようです。## ホライゾン:近1億ドルの損失、賠償方案はまだ議論中2022年6月24日、Harmonyのパブリックブロックチェーンの公式クロスチェーンブリッジであるHorizonが攻撃を受け、約1億ドルの損失が発生しました。Harmonyの創設者はその後、攻撃が私鍵の漏洩に起因する可能性があることを認めました。盗まれた資金はイーサリアムとBNBチェーン上の多種多様な資産に関連しています。Harmonyは最初に3年以内にONEトークンを増発してユーザーの損失を部分的に補償することを提案しましたが、コミュニティの一致した支持を得ることができませんでした。現在、プロジェクトチームは補償策を再策定しています。## Nomad:1.9億ドルの損失、一部の資金が回収できる見込み2022年8月初、Nomadブリッジは突然流動性が枯渇し、約1.9億ドルの損失を被りました。分析によると、問題は契約のアップグレード中の初歩的なミスに起因し、誰でもブリッジから資金を引き出せることになりました。この事件は1251のETHアドレスに影響を与え、そのうち12のENSアドレスが総損失の38%を占めています。プロジェクト側はまだ明確な賠償案を提示していませんが、一部のホワイトハットハッカーが資金の返還を希望していることが示されています。## まとめクロスチェーンブリッジの安全事故の頻発は、この分野の高リスク性を浮き彫りにしています。特に、流動性ランキング上位のブリッジであるMultichain、Wormhole、Poly Networkでさえ、安全上の問題に直面したことがあるため、いかなるクロスチェーンブリッジも安全の脅威にさらされる可能性があることを示しています。しかし、背景が強固で資金力があるプロジェクトは、安全事故を処理する際により有利な場合が多いです。例えば、Poly Network、Ronin Network、Wormholeは大規模な資金盗難に遭った後、さまざまな方法で資金を取り戻すか、全額賠償を行うことができました。さらに、リアルタイム監視と迅速な対応も攻撃を防ぐための鍵です。Hop ProtocolやStarGateは、疑わしい活動を発見した後、迅速に行動を起こし、潜在的な攻撃を成功裏に阻止しました。
クロスチェーンブリッジ巨額攻撃事件まとめ:19億ドルが影響を受け、15.5億ドルが賠償済み
クロスチェーンブリッジ安全事件回顧:超19億ドル資金が影響を受け、15.5億ドルが賠償または回収された
ブロックチェーンエコシステムには多くのパブリックチェーンが存在しますが、主要な資産が不足しているため、クロスチェーンブリッジを介してイーサリアムなどの主要なパブリックチェーンから資産を取得する必要があります。最近、分散型金融(DeFi)領域での安全事故が頻発しており、クロスチェーンブリッジは大量の資金移動により攻撃者の主要なターゲットとなっています。本稿では、過去に発生した10件の大規模なクロスチェーンブリッジ攻撃事件を振り返ります。これらの事件は合計で190億ドル以上の資金が関与しており、そのうち約155億ドルが賠償または回収されています。
! クロスチェーンブリッジの歴史における上位10の攻撃のインベントリ:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました
ChainSwap: 800万ドルの損失、トークンの再発行で対処
2021年7月、ChainSwapはわずか9日間で2回のハッキング攻撃に遭いました。最初の攻撃では約80万ドルの損失が発生し、2回目の攻撃ではさらに深刻で、800万ドルに達し、20を超えるChainSwapを使用してクロスチェーン操作を行っているプロジェクトに影響を与えました。
調査によると、事故の原因は契約が署名の有効性を厳格に検証していなかったため、攻撃者が自分で生成した署名を使用して取引を完了できたことにあります。損失は主にプロジェクト側のガバナンストークンに関わっており、ChainSwapを含む複数の影響を受けたプロジェクトはスナップショットを行い、新しいトークンを発行してトークン保有者や流動性提供者に補償することを選択しました。
ポリネットワーク:6.1億ドルの盗まれた資金が全て回収されました
2021年8月10日、クロスチェーン相互運用プロトコルPoly Networkが大規模な攻撃を受け、イーサリアム、バイナンススマートチェーン、Polygonネットワークでそれぞれ2.5億、2.7億、8500万ドルの資産を失い、合計約6.1億ドルに達しました。
攻撃は主にPoly Networkの契約権限管理ロジックの脆弱性を利用しました。攻撃者はターゲットチェーン上のバリデーターアドレスを成功裏に変更し、資産移転操作を制御しました。攻撃者は最初にプライバシートークンを使用して資金を準備しましたが、最終的には盗まれた資金全額を返還することを選択しました。Poly Networkはその後、これを「ホワイトハット」ハッカーと呼び、彼を最高安全顧問として雇うことを提案しました。
マルチチェーン:600万ドルの損失、一部の資金は補償済み
2022年1月、Multichainは多くのトークンに影響を与える重要な脆弱性を発見しました。脆弱性は修正されましたが、一部のユーザーの資産は依然としてリスクにさらされています。公式の報告によると、7962のユーザーアドレスが影響を受け、そのうち3101のアドレスは適時に権限を撤回していません。
盗まれた資金には1889.6612 WETHと833.4191 AVAXが含まれ、当時の価格で約604万ドルに相当します。セキュリティチームの分析によると、脆弱性はMultichainがユーザーの入力トークンの合法性を検証する際の怠慢に起因しています。報告書の発表時点で、盗まれた資金の約50%が回収されました。Multichainはこの部分の資金を契約の承認を取り消したユーザーに返還することを提案しましたが、その後の損失に対しては補償しないとしています。
QBridge:8000万ドルの損失、わずか2%が補償を受ける
2022年1月28日、貸出プラットフォームQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失を被りました。攻撃者はQBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを二重チェックしていない脆弱性を利用し、BSCネットワーク上で大量のxETHトークンを無から鋳造し、これらのトークンを使ってQubitから他の資産を借り出しました。
現在、Qubitの使用率は大幅に低下しており、公式データによると98%の盗まれた資金はまだ補償されていません。
Meter.io:440万ドルの損失、将来の収益で補填することを約束
2022年2月6日、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失を被りました。公式は問題が基盤となるコードの「誤った信頼仮定」にあるとし、攻撃者がBNBとETHの送金を偽造できるようになったと述べました。
Meterは当初、MTRGトークンを使用してユーザーの損失を補償する計画でしたが、その後、新しいPASSトークンを発行して補償することに決定し、将来の収益を使用してこれらのトークンを買い戻すことを約束しました。しかし、現時点ではいかなる買い戻し操作も行われていません。
ロニン:6.2億ドルの損失、全額補償済み
2022年3月末、ブロックチェーンゲームAxie Infinityの背後にあるRoninネットワークが重大なセキュリティ事故に遭い、約6.2億ドルの損失を被りました。攻撃者はソーシャルエンジニアリング手法を用いてRoninネットワークの9つのバリデーターノードのうち5つの制御権を取得し、ネットワークを操作しました。
盗まれた資金は回収できませんでしたが、Axie Infinityの開発者であるSky Mavisは、Binanceのリードにより1.5億ドルの資金調達を完了し、ユーザーの損失を補償するために使用します。6月末にRoninクロスチェーンブリッジが再び稼働し、ユーザーは補償を受けることができます。しかし、この期間中にETHの価格が大幅に下落したため、補償の実際の価値は大幅に減少しました。
ワームホール:3.26億ドルの損失、全額賠償済み
2022年2月初、クロスチェーンプロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃者はSolana側のWormholeコアコントラクトにおける署名検証の脆弱性を利用し、"ガーディアン"メッセージを偽造して大量のwhETHを鋳造しました。
事故後、Jump Crypto(Wormholeの開発会社Certus Oneの買収者)は、すべての損失をカバーするためにすぐに120,000ETHを注入し、その後、Wormholeは通常の動作に戻りました。
EvoDeFi:数千万ドルの推定損失、未解決
2022年6月初、Oasisエコシステムの分散型取引所ValleySwapでUSDTが深刻なペッグ外れが発生しました。この問題は、使用されているクロスチェーンブリッジEVODeFiがソースチェーン上で流動性不足であることに起因しています。具体的な損失額は公表されていませんが、数千万ドルの規模であると推定されています。
事故発生後、各方面の反応はさまざまです。EVODeFiは市場の恐怖を非難し、Oasisの公式はValleySwapやEvoDeFiとは無関係であり、EvoDeFiには高いリスクが存在することを強調しました。ユーザーの損失は今まで何の補償も受けておらず、関連プロジェクト側はすでに運営を停止しているようです。
ホライゾン:近1億ドルの損失、賠償方案はまだ議論中
2022年6月24日、Harmonyのパブリックブロックチェーンの公式クロスチェーンブリッジであるHorizonが攻撃を受け、約1億ドルの損失が発生しました。Harmonyの創設者はその後、攻撃が私鍵の漏洩に起因する可能性があることを認めました。盗まれた資金はイーサリアムとBNBチェーン上の多種多様な資産に関連しています。
Harmonyは最初に3年以内にONEトークンを増発してユーザーの損失を部分的に補償することを提案しましたが、コミュニティの一致した支持を得ることができませんでした。現在、プロジェクトチームは補償策を再策定しています。
Nomad:1.9億ドルの損失、一部の資金が回収できる見込み
2022年8月初、Nomadブリッジは突然流動性が枯渇し、約1.9億ドルの損失を被りました。分析によると、問題は契約のアップグレード中の初歩的なミスに起因し、誰でもブリッジから資金を引き出せることになりました。
この事件は1251のETHアドレスに影響を与え、そのうち12のENSアドレスが総損失の38%を占めています。プロジェクト側はまだ明確な賠償案を提示していませんが、一部のホワイトハットハッカーが資金の返還を希望していることが示されています。
まとめ
クロスチェーンブリッジの安全事故の頻発は、この分野の高リスク性を浮き彫りにしています。特に、流動性ランキング上位のブリッジであるMultichain、Wormhole、Poly Networkでさえ、安全上の問題に直面したことがあるため、いかなるクロスチェーンブリッジも安全の脅威にさらされる可能性があることを示しています。
しかし、背景が強固で資金力があるプロジェクトは、安全事故を処理する際により有利な場合が多いです。例えば、Poly Network、Ronin Network、Wormholeは大規模な資金盗難に遭った後、さまざまな方法で資金を取り戻すか、全額賠償を行うことができました。
さらに、リアルタイム監視と迅速な対応も攻撃を防ぐための鍵です。Hop ProtocolやStarGateは、疑わしい活動を発見した後、迅速に行動を起こし、潜在的な攻撃を成功裏に阻止しました。