250億円相当の仮想通貨がNomadのトークンブリッジに対する攻撃で流出
独立したブロックチェーン間でトークンを移動させて相互運用を可能にする「トークンブリッジ」を手がけるNomadが攻撃を受け、約1億9070万ドル(約253億円)相当の仮想通貨が盗み出されたことが明らかになりました。
Hackers abuse ‘chaotic’ Nomad exploit to drain almost $200M in crypto | TechCrunch
https://techcrunch.com/2022/08/02/nomad-chaotic-exploit-crypto/
1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes ???? pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) August 1, 2022
初期の報告によると、2022年8月2日の6時37分頃にNomadのトークンブリッジが活発にハッキングを受け、Wrapped ETH(WETH)やWrapped Bitcoin(WBTC)が盗まれ始めたとのこと。
Nomad bridge getting rugged??? Looks very very sus pic.twitter.com/nvtMIjf0rD
— Spreek (@spreekaway) August 1, 2022
時間を追うごとにEthereum(ETH)やUSD Coin(USDC)など他のトークンも盗まれていき、同日9時時点でウォレットには782.04ドル(約10万円)しか残っていなかったそうです。
how it started vs how it ended
— foobar (@0xfoobar) August 2, 2022
the most valuable remaining asset is $300 worth of CharlieCoin
rip pic.twitter.com/E26rBY8LPG
Nomadは8時25分に「インシデントを確認した」とツイートし、調査を開始していました。
We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.
— Nomad (⤭⛓????) (@nomadxyz_) August 1, 2022
記事作成時点でNomadはハッキングの原因を明らかにしていませんが、専門家によると「取引が簡単に偽装できる状態にあった」というのが原因だといいます。
投資会社Paradigmの研究員であるsamczsun氏によると、Nomadのスマートコントラクトの1つに対して最近行われたアップデートにより、ユーザーが簡単に取引を偽装することができるようになったとのこと。ユーザーがあるブロックチェーンから別のブロックチェーンに資金を送金する際、Nomadはその金額を確認せず、Nomadはその金額を確認せず、ユーザーが自分のものではない資金を引き出すことが可能になっていたそうです。
Web3のバグバウンティプログラムを提供するImmunefiの技術リーダーであるAdrian Hetman氏も同じ結論を出しており「今回のハッキングは小切手帳を使って銀行から資金を引き出すようなもので、Nomadは小切手そのものが有効かどうかだけを気にしているだけで、我々が実際に十分なお金を保持しているかは検証しなかった」と語りました。
さらに今回の攻撃者は単独犯ではなく、複数の人間により行われていました。最初のハッキングを聞きつけたハッカーたちは元となった取引をコピーして一部の値を変更するだけで攻撃をまねできたとのことで、調査によると41以上の異なるアドレスが全体の80%の資金を盗み出していたそうです。
Nomadは記事作成時点で「24時間体制でこの状況に対処しています。私たちの目標は、関与したアカウントを特定し、資金を追跡して回収することです」と述べ、問題を調査中としています。
Update: We are working around the clock to address the situation and have notified law enforcement and retained leading firms for blockchain intelligence and forensics. Our goal is to identify the accounts involved and to trace and recover the funds.
— Nomad (⤭⛓????) (@nomadxyz_) August 2, 2022
1/2
・関連記事
ビットコイン発明者サトシ・ナカモトの正体とされる人物が名誉毀損訴訟で勝訴し約160円の賠償金を得る - GIGAZINE
主要な仮想通貨がクラッシュして時価総額がピーク時の3分の1に、一体何が原因なのか? - GIGAZINE
99.99%下落した「Terra(LUNA)」のビットコイン積立金が行方不明に、創設者の自宅には不審人物が出没 - GIGAZINE
ビットコイン急落のさなかにCoinbaseで一時出金が不可能に、倒産によりユーザーの仮想通貨が溶けるリスクも - GIGAZINE
99.99%下落の仮想通貨が「LUNA 2.0」として復活するもさっそく80%近くの下落に見舞われる - GIGAZINE
・関連コンテンツ