# クロスチェーンブリッジ安全事件回顧:近20億ドルの損失、超15億ドルが回収または賠償済みブロックチェーンエコシステムには数百のパブリックチェーンが存在しますが、多くのチェーンがメインストリーム資産を欠いているため、クロスチェーンブリッジを通じてイーサリアムなどの主要なパブリックチェーンから資産を取得する必要があります。最近、DeFi分野でのセキュリティインシデントが頻発しており、クロスチェーンブリッジはその高い資金流動性のために攻撃者の主要な標的となっています。本稿では、過去に発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その教訓をまとめ、開発チームとユーザーに警戒を促します。注目すべきは、背景に強力な資金力があるクロスチェーンブリッジプロジェクトが安全事故に遭遇した場合、資産をより効果的に回収したり、ユーザーに補償を提供したりできることです。したがって、ユーザーがクロスチェーンブリッジを選択する際には、プロジェクト側の実力と信頼性を考慮することも賢明な判断です。! [クロスチェーンブリッジの歴史における上位10の攻撃のインベントリ:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました](https://img-cdn.gateio.im/social/moments-b926d16b97df34c932d07162a8f91172)## ChainSwap:800万ドルの損失、プロジェクト再起動2021年7月、ChainSwapは2回のハッキング攻撃を受け、合計で約880万ドルの損失を被りました。2回目の攻撃は影響範囲が広く、20以上のプロジェクトがChainSwapを使用してクロスチェーンを行うことに影響を及ぼしました。調査によると、攻撃の原因はプロトコルが署名の有効性を厳密に検証していなかったためで、攻撃者は自ら生成した署名を使用して取引を完了することができました。損失は主にプロジェクト側のガバナンストークンに関わっており、ChainSwapを含む複数の影響を受けたプロジェクトはスナップショットを行い、トークンを再発行してトークン保有者と流動性提供者に補償することを選択しました。## ポリネットワーク:6.1億ドルが盗まれ、全額回収2021年8月10日、クロスチェーン相互運用プロトコルPoly Networkが大規模攻撃を受け、イーサリアム、バイナンススマートチェーン、ポリゴン上で合計約6.1億ドルの資産を失った。攻撃者はPoly Networkの契約権限管理ロジックの脆弱性を利用し、ターゲットチェーンのバリデーターアドレスを変更することで、大量の資産を成功裏に移転しました。手法は巧妙であったものの、ハッカーは最終的に盗まれた全ての資金を返還しました。Poly Networkはその後、彼を「ホワイトハット」ハッカーと称し、最高安全顧問に雇うことを提案しました。## マルチチェーン:600万ドルの損失、一部は支払い済み2022年1月、Multichainは複数のトークンに影響を与える重大な脆弱性を発見しました。脆弱性は修正されましたが、一部のユーザーは権限を迅速に取り消さなかったため、合計約604万ドルの損失を被りました。慢雾セキュリティチームの分析によると、攻撃の原因はMultichainがユーザー入力のトークンの合法性を検証する際に脆弱性が存在し、すべての基盤となるトークンがpermit関数を実装しているわけではないことを考慮していなかったためです。事件発生後、盗まれた資金のほぼ50%が回収され、プロジェクト側も補償案を提示しました。## QBridge:8000万ドルの損失、支払いの遅れ2022年1月28日、貸出プロトコルQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失が発生しました。攻撃者は、QBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを再確認しない脆弱性を利用しました。攻撃者はERC20トークンのアドレスをゼロアドレスに設定することで、BSC上で何のトークンも預け入れずに大量のxETHトークンを無から鋳造し、それを担保にして他のトークンを借り出しました。現在、Qubitの利用率は大幅に低下しており、盗まれた資金の98%はまだ補償されていません。## $Meter.io:440 の損失と将来の利益の約束2022年2月6日、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。Meterの公式は、問題がその拡張元コードの「誤った信頼仮定」に起因しており、攻撃者がBNBやETHの送金を偽造できるようになったと述べました。プロジェクトチームは当初、MTRGトークンで損失を補償することを計画していましたが、後に新しいPASSトークンを発行することに決め、将来の収益でこれらのトークンを買い戻すことを約束しました。## ロニン:6.2億ドルが盗まれ、全額返済済み2022年3月、Axie Infinityの背後にあるRoninチェーンが重大なセキュリティインシデントに遭遇し、約6.2億ドルの損失を被りました。この攻撃は実際には3月23日に発生しましたが、6日後まで発見されませんでした。調査によると、攻撃者は社会工学的手法を用いてSky Mavisの従業員の信頼を得て、Roninネットワークの複数の検証ノードを制御しました。盗まれた資金は回収できませんでしたが、Sky Mavisは1.5億ドルの資金調達を通じてユーザーに補償を提供しました。## ウォームホール:3.26億ドルの損失、全額補償済み2022年2月3日、クロスチェーン相互運用プロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。攻撃の原因はSolanaのWormholeコア契約の署名検証コードに脆弱性が存在し、攻撃者が「ガーディアン」メッセージを偽造してwhETHを鋳造できるようになったためです。事件発生後、Jump Cryptoは迅速に120,000 ETHを投入して損失を補填し、Wormholeの運用を回復させました。## EvoDeFi:損失は数千万ドルと見積もられ、まだ解決されていません2022年6月7日、Oasisエコシステム内のDEX ValleySwapでUSDTが深刻なペッグ外れが発生しました。この問題は、使用されているクロスチェーンブリッジEVODeFiがソースチェーン上で流動性不足に起因しています。具体的な損失額は不明ですが、約1000万ドル規模と推定されています。残念ながら、Oasis公式、ValleySwap、EVODeFiはいずれもユーザーに対して有効な解決策を提供できませんでした。## Horizon:約1億ドルの損害賠償、補償計画は進行中2022年6月24日、Harmonyの公式クロスチェーンブリッジHorizonが攻撃を受け、約1億ドルの資金損失が発生しました。Harmonyの創設者Stephen Tseは、攻撃が秘密鍵の漏洩によって引き起こされた可能性があることを認めました。プロジェクト側は、3年以内にONEトークンを増発してユーザーの損失を補償する提案を行いましたが、その提案はコミュニティの一致した承認を得られませんでした。現在、新しい補償案が策定中です。## Nomad:1.9億ドルが盗まれ、一部の資金は回収の見込み2022年8月2日、Nomadクロスチェーンブリッジが重大なセキュリティ事故に遭い、1.9億ドルの資金が流出しました。この事件はLayer2相互運用性プロトコルConnextにも影響を及ぼし、約334万ドルの損失を引き起こしました。分析によると、攻撃はNomadが契約のアップグレード中に信頼できるルートを誤って0x00として初期化したことに起因し、誰でもクロスチェーンブリッジから資金を簡単に引き出せるようになりました。現在、一部のホワイトハットハッカーは資金を返還する意向を示していますが、プロジェクト側はまだ明確な補償プランを提示していません。## まとめクロスチェーンブリッジの安全事故の頻発は、この分野の高リスク性を浮き彫りにしています。Multichain、Portal(Wormhole)、Poly Networkのような上位の大型クロスチェーンブリッジプロジェクトでさえ、安全問題に直面したことがあります。これは、どんなクロスチェーンブリッジも安全脅威に直面する可能性があることを警告しています。しかし、私たちはまた、背景に強力な実力と十分な資金を持つプロジェクトが安全事故に遭遇した際、資産をより効果的に回収したり、ユーザーに補償を提供したりできることを観察しています。例えば、Poly Network、Ronin Network、Wormholeは大規模な資金盗難に遭った後、資金を回収するか、十分な補償を行うことができました。さらに、プロジェクトチームのリアルタイム監視と迅速な対応も非常に重要です。Hop ProtocolやStarGateは、疑わしい活動の報告を受けて迅速に行動を起こし、潜在的な攻撃を成功裏に阻止しました。したがって、ユーザーにとってクロスチェーンブリッジを選択する際には、技術的要因を考慮するだけでなく、プロジェクトチームの背景、資金力、リスク対応能力を評価する必要があります。開発チームにとっては、継続的なセキュリティ監査、迅速なバグ修正、そして整備された緊急対応メカニズムが、クロスチェーンブリッジの安全を確保するための重要な要素です。
クロスチェーンブリッジの安全回顧:20億ドルの損失のうち75%が回収または賠償された
クロスチェーンブリッジ安全事件回顧:近20億ドルの損失、超15億ドルが回収または賠償済み
ブロックチェーンエコシステムには数百のパブリックチェーンが存在しますが、多くのチェーンがメインストリーム資産を欠いているため、クロスチェーンブリッジを通じてイーサリアムなどの主要なパブリックチェーンから資産を取得する必要があります。最近、DeFi分野でのセキュリティインシデントが頻発しており、クロスチェーンブリッジはその高い資金流動性のために攻撃者の主要な標的となっています。本稿では、過去に発生した10件の重大なクロスチェーンブリッジ攻撃事件を振り返り、その教訓をまとめ、開発チームとユーザーに警戒を促します。
注目すべきは、背景に強力な資金力があるクロスチェーンブリッジプロジェクトが安全事故に遭遇した場合、資産をより効果的に回収したり、ユーザーに補償を提供したりできることです。したがって、ユーザーがクロスチェーンブリッジを選択する際には、プロジェクト側の実力と信頼性を考慮することも賢明な判断です。
! クロスチェーンブリッジの歴史における上位10の攻撃のインベントリ:19億ドル以上が関与し、15億5000万ドルが支払われたか回収されました
ChainSwap:800万ドルの損失、プロジェクト再起動
2021年7月、ChainSwapは2回のハッキング攻撃を受け、合計で約880万ドルの損失を被りました。2回目の攻撃は影響範囲が広く、20以上のプロジェクトがChainSwapを使用してクロスチェーンを行うことに影響を及ぼしました。
調査によると、攻撃の原因はプロトコルが署名の有効性を厳密に検証していなかったためで、攻撃者は自ら生成した署名を使用して取引を完了することができました。損失は主にプロジェクト側のガバナンストークンに関わっており、ChainSwapを含む複数の影響を受けたプロジェクトはスナップショットを行い、トークンを再発行してトークン保有者と流動性提供者に補償することを選択しました。
ポリネットワーク:6.1億ドルが盗まれ、全額回収
2021年8月10日、クロスチェーン相互運用プロトコルPoly Networkが大規模攻撃を受け、イーサリアム、バイナンススマートチェーン、ポリゴン上で合計約6.1億ドルの資産を失った。
攻撃者はPoly Networkの契約権限管理ロジックの脆弱性を利用し、ターゲットチェーンのバリデーターアドレスを変更することで、大量の資産を成功裏に移転しました。手法は巧妙であったものの、ハッカーは最終的に盗まれた全ての資金を返還しました。Poly Networkはその後、彼を「ホワイトハット」ハッカーと称し、最高安全顧問に雇うことを提案しました。
マルチチェーン:600万ドルの損失、一部は支払い済み
2022年1月、Multichainは複数のトークンに影響を与える重大な脆弱性を発見しました。脆弱性は修正されましたが、一部のユーザーは権限を迅速に取り消さなかったため、合計約604万ドルの損失を被りました。
慢雾セキュリティチームの分析によると、攻撃の原因はMultichainがユーザー入力のトークンの合法性を検証する際に脆弱性が存在し、すべての基盤となるトークンがpermit関数を実装しているわけではないことを考慮していなかったためです。事件発生後、盗まれた資金のほぼ50%が回収され、プロジェクト側も補償案を提示しました。
QBridge:8000万ドルの損失、支払いの遅れ
2022年1月28日、貸出プロトコルQubitのクロスチェーンブリッジQBridgeが攻撃を受け、約8000万ドルの損失が発生しました。
攻撃者は、QBridgeがホワイトリストトークンの転送を処理する際にゼロアドレスを再確認しない脆弱性を利用しました。攻撃者はERC20トークンのアドレスをゼロアドレスに設定することで、BSC上で何のトークンも預け入れずに大量のxETHトークンを無から鋳造し、それを担保にして他のトークンを借り出しました。
現在、Qubitの利用率は大幅に低下しており、盗まれた資金の98%はまだ補償されていません。
$Meter.io:440 の損失と将来の利益の約束
2022年2月6日、Meter Passportクロスチェーンブリッジが攻撃を受け、440万ドルの損失が発生しました。
Meterの公式は、問題がその拡張元コードの「誤った信頼仮定」に起因しており、攻撃者がBNBやETHの送金を偽造できるようになったと述べました。プロジェクトチームは当初、MTRGトークンで損失を補償することを計画していましたが、後に新しいPASSトークンを発行することに決め、将来の収益でこれらのトークンを買い戻すことを約束しました。
ロニン:6.2億ドルが盗まれ、全額返済済み
2022年3月、Axie Infinityの背後にあるRoninチェーンが重大なセキュリティインシデントに遭遇し、約6.2億ドルの損失を被りました。この攻撃は実際には3月23日に発生しましたが、6日後まで発見されませんでした。
調査によると、攻撃者は社会工学的手法を用いてSky Mavisの従業員の信頼を得て、Roninネットワークの複数の検証ノードを制御しました。盗まれた資金は回収できませんでしたが、Sky Mavisは1.5億ドルの資金調達を通じてユーザーに補償を提供しました。
ウォームホール:3.26億ドルの損失、全額補償済み
2022年2月3日、クロスチェーン相互運用プロトコルWormholeが攻撃を受け、約12万枚のETH、価値3.26億ドルを失いました。
攻撃の原因はSolanaのWormholeコア契約の署名検証コードに脆弱性が存在し、攻撃者が「ガーディアン」メッセージを偽造してwhETHを鋳造できるようになったためです。事件発生後、Jump Cryptoは迅速に120,000 ETHを投入して損失を補填し、Wormholeの運用を回復させました。
EvoDeFi:損失は数千万ドルと見積もられ、まだ解決されていません
2022年6月7日、Oasisエコシステム内のDEX ValleySwapでUSDTが深刻なペッグ外れが発生しました。この問題は、使用されているクロスチェーンブリッジEVODeFiがソースチェーン上で流動性不足に起因しています。
具体的な損失額は不明ですが、約1000万ドル規模と推定されています。残念ながら、Oasis公式、ValleySwap、EVODeFiはいずれもユーザーに対して有効な解決策を提供できませんでした。
Horizon:約1億ドルの損害賠償、補償計画は進行中
2022年6月24日、Harmonyの公式クロスチェーンブリッジHorizonが攻撃を受け、約1億ドルの資金損失が発生しました。
Harmonyの創設者Stephen Tseは、攻撃が秘密鍵の漏洩によって引き起こされた可能性があることを認めました。プロジェクト側は、3年以内にONEトークンを増発してユーザーの損失を補償する提案を行いましたが、その提案はコミュニティの一致した承認を得られませんでした。現在、新しい補償案が策定中です。
Nomad:1.9億ドルが盗まれ、一部の資金は回収の見込み
2022年8月2日、Nomadクロスチェーンブリッジが重大なセキュリティ事故に遭い、1.9億ドルの資金が流出しました。この事件はLayer2相互運用性プロトコルConnextにも影響を及ぼし、約334万ドルの損失を引き起こしました。
分析によると、攻撃はNomadが契約のアップグレード中に信頼できるルートを誤って0x00として初期化したことに起因し、誰でもクロスチェーンブリッジから資金を簡単に引き出せるようになりました。現在、一部のホワイトハットハッカーは資金を返還する意向を示していますが、プロジェクト側はまだ明確な補償プランを提示していません。
まとめ
クロスチェーンブリッジの安全事故の頻発は、この分野の高リスク性を浮き彫りにしています。Multichain、Portal(Wormhole)、Poly Networkのような上位の大型クロスチェーンブリッジプロジェクトでさえ、安全問題に直面したことがあります。これは、どんなクロスチェーンブリッジも安全脅威に直面する可能性があることを警告しています。
しかし、私たちはまた、背景に強力な実力と十分な資金を持つプロジェクトが安全事故に遭遇した際、資産をより効果的に回収したり、ユーザーに補償を提供したりできることを観察しています。例えば、Poly Network、Ronin Network、Wormholeは大規模な資金盗難に遭った後、資金を回収するか、十分な補償を行うことができました。
さらに、プロジェクトチームのリアルタイム監視と迅速な対応も非常に重要です。Hop ProtocolやStarGateは、疑わしい活動の報告を受けて迅速に行動を起こし、潜在的な攻撃を成功裏に阻止しました。
したがって、ユーザーにとってクロスチェーンブリッジを選択する際には、技術的要因を考慮するだけでなく、プロジェクトチームの背景、資金力、リスク対応能力を評価する必要があります。開発チームにとっては、継続的なセキュリティ監査、迅速なバグ修正、そして整備された緊急対応メカニズムが、クロスチェーンブリッジの安全を確保するための重要な要素です。