チェーン間ブリッジ「Nomad」でハッキング、WBTCなど200億円相当を損失

Nomadから約200億円資産が流出

DeFiクロスチェーンブリッジ「Nomad」で2日未明、約200億円（1億5000万ドル）相当の資金が不正に流出したことが明らかになった。

主に、暗号資産（仮想通貨）ラップドビットコイン（WBTC）、イーサリアム（ETH）、ステーブルコインのUSDCoin（USDC）が影響を受けている。

1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes 👇 pic.twitter.com/Y7Q3fZ7ezm

— samczsun (@samczsun) August 1, 2022

Nomadは複数のブロックチェーン間で資産ブリッジ（移動）に使用されるアプリケーション。現在、イーサリアム（ETH）やムーンビーム（GLMR）、コスモスのEVM互換チェーン「Evmos」、アバランチ（AVAX）間でのブリッジをサポートしている。

データサイトDeFillama によると、2日6時頃（日本時間）にNomad に預けられた総資産価値（TVL）は1億6,500万ドルあったが、わずか数時間のうちに約24万円（1,800ドル）まで減少した。

ハッキング被害の主な原因は、Nomad開発チームによるヒューマンエラーであると指摘されている。大手VCのParadigmのセキュリティ専門家によると、Nomadのアップグレードの際に誤ってコードの「ルート証明書」が一般的な「0x00」へと変更された。

VC大手Paradigmレター内容、今後12～24ヶ月で強気の見通し

1. 一部CeFiは流動性危機に陥ったが、DeFiプロトコルは正常稼働
2. 仮想通貨業界で新卒やWeb2エンジニアが増加傾向
3. インフラ周りや開発者向けツールが成熟しつつある

下落要因分析など全文はLinksアプリで配信中https://t.co/XlYi0vBJtI

— CoinPost -仮想通貨情報サイト-【アプリ配信中】 (@coin_post) August 1, 2022

これにより、過去に成功したトランザクションの「calldata」をコピペして、「送信先アドレス」を変更するだけで、攻撃者が簡単に資金を引き出せる状況になっていた。

最初の攻撃者がコードの脆弱性をついた後、瞬く間に数百アカウントが集まり、取引をコピペして雪だるま式に被害が拡大していったようだ。

Nomadは、ブリッジ時の不正を発見した場合に時系列を巻き戻す「Optimistic fraud-prevention」を採用するクロスチェーン通信プロトコル。過去にRoninやHorizonで起きたような、ネットワークバリデーター（検証者）のマルチシグが攻撃対象となり得る仕組みでは無い。

関連：アクシーインフィニティの「Roninブリッジ」再開へ

しかし、本件の攻撃はブリッジを経由することなく、イーサリアム単体のコントラクトが悪用された。そのため、異常時にシステムを緊急停止させるOptimistic検証の監視モデルが機能しなかったと、相互運用性プロトコルConnextのArjun Bhuptani CEOは指摘した。

こうした脆弱性は、監査報告書で直接指摘されていたことも明らかになっている。コードの脆弱性はそのままに、その使い方がGithub上で公開されていた格好だ（報告書は現在非公開とされている）。

本件についてNomadチームは公式ツイッターで「現在調査中」と述べている。一方でNomadになりすまし、詐欺を目的にユーザーに不正な送付先アドレスを提供するアカウントも出ているとして、公式コミュニケーションチャネル以外からの連絡を無視するよう呼びかけた。

Nomadは7月末にシードラウンドで約28億円（2200万ドル）を調達したことを発表したばかりだ。リード投資家はVCのPolychainが務め、NFT電子市場OpenSeaや仮想通貨投資機関Coinbase Ventures、Crypto.com Capital、Wintermute、分散型プロジェクトのGnosis、Polygonなどが参加した。

関連：Harmonyブリッジ資金流出、被害者への補償にONEトークンの発行を提案