チェーン間ブリッジ「Nomad」でハッキング、WBTCなど200億円相当を損失
Nomadから約200億円資産が流出
DeFiクロスチェーンブリッジ「Nomad」で2日未明、約200億円(1億5000万ドル)相当の資金が不正に流出したことが明らかになった。
主に、暗号資産(仮想通貨)ラップドビットコイン(WBTC)、イーサリアム(ETH)、ステーブルコインのUSDCoin(USDC)が影響を受けている。
Nomadは複数のブロックチェーン間で資産ブリッジ(移動)に使用されるアプリケーション。現在、イーサリアム(ETH)やムーンビーム(GLMR)、コスモスのEVM互換チェーン「Evmos」、アバランチ(AVAX)間でのブリッジをサポートしている。
データサイトDeFillama によると、2日6時頃(日本時間)にNomad に預けられた総資産価値(TVL)は1億6,500万ドルあったが、わずか数時間のうちに約24万円(1,800ドル)まで減少した。
ハッキング被害の主な原因は、Nomad開発チームによるヒューマンエラーであると指摘されている。大手VCのParadigmのセキュリティ専門家によると、Nomadのアップグレードの際に誤ってコードの「ルート証明書」が一般的な「0x00」へと変更された。
これにより、過去に成功したトランザクションの「calldata」をコピペして、「送信先アドレス」を変更するだけで、攻撃者が簡単に資金を引き出せる状況になっていた。
最初の攻撃者がコードの脆弱性をついた後、瞬く間に数百アカウントが集まり、取引をコピペして雪だるま式に被害が拡大していったようだ。
Nomadは、ブリッジ時の不正を発見した場合に時系列を巻き戻す「Optimistic fraud-prevention」を採用するクロスチェーン通信プロトコル。過去にRoninやHorizonで起きたような、ネットワークバリデーター(検証者)のマルチシグが攻撃対象となり得る仕組みでは無い。
しかし、本件の攻撃はブリッジを経由することなく、イーサリアム単体のコントラクトが悪用された。そのため、異常時にシステムを緊急停止させるOptimistic検証の監視モデルが機能しなかったと、相互運用性プロトコルConnextのArjun Bhuptani CEOは指摘した。
こうした脆弱性は、監査報告書で直接指摘されていたことも明らかになっている。コードの脆弱性はそのままに、その使い方がGithub上で公開されていた格好だ(報告書は現在非公開とされている)。
本件についてNomadチームは公式ツイッターで「現在調査中」と述べている。一方でNomadになりすまし、詐欺を目的にユーザーに不正な送付先アドレスを提供するアカウントも出ているとして、公式コミュニケーションチャネル以外からの連絡を無視するよう呼びかけた。
Nomadは7月末にシードラウンドで約28億円(2200万ドル)を調達したことを発表したばかりだ。リード投資家はVCのPolychainが務め、NFT電子市場OpenSeaや仮想通貨投資機関Coinbase Ventures、Crypto.com Capital、Wintermute、分散型プロジェクトのGnosis、Polygonなどが参加した。
関連:Harmonyブリッジ資金流出、被害者への補償にONEトークンの発行を提案
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します