250億円相当の仮想通貨がNomadのトークンブリッジに対する攻撃で流出

独立したブロックチェーン間でトークンを移動させて相互運用を可能にする「トークンブリッジ」を手がけるNomadが攻撃を受け、約1億9070万ドル(約253億円)相当の仮想通貨が盗み出されたことが明らかになりました。

Hackers abuse ‘chaotic’ Nomad exploit to drain almost $200M in crypto | TechCrunch
https://techcrunch.com/2022/08/02/nomad-chaotic-exploit-crypto/

初期の報告によると、2022年8月2日の6時37分頃にNomadのトークンブリッジが活発にハッキングを受け、Wrapped ETH(WETH)やWrapped Bitcoin(WBTC)が盗まれ始めたとのこと。

時間を追うごとにEthereum(ETH)やUSD Coin(USDC)など他のトークンも盗まれていき、同日9時時点でウォレットには782.04ドル(約10万円)しか残っていなかったそうです。

Nomadは8時25分に「インシデントを確認した」とツイートし、調査を開始していました。

記事作成時点でNomadはハッキングの原因を明らかにしていませんが、専門家によると「取引が簡単に偽装できる状態にあった」というのが原因だといいます。

投資会社Paradigmの研究員であるsamczsun氏によると、Nomadのスマートコントラクトの1つに対して最近行われたアップデートにより、ユーザーが簡単に取引を偽装することができるようになったとのこと。ユーザーがあるブロックチェーンから別のブロックチェーンに資金を送金する際、Nomadはその金額を確認せず、Nomadはその金額を確認せず、ユーザーが自分のものではない資金を引き出すことが可能になっていたそうです。

Web3のバグバウンティプログラムを提供するImmunefiの技術リーダーであるAdrian Hetman氏も同じ結論を出しており「今回のハッキングは小切手帳を使って銀行から資金を引き出すようなもので、Nomadは小切手そのものが有効かどうかだけを気にしているだけで、我々が実際に十分なお金を保持しているかは検証しなかった」と語りました。

さらに今回の攻撃者は単独犯ではなく、複数の人間により行われていました。最初のハッキングを聞きつけたハッカーたちは元となった取引をコピーして一部の値を変更するだけで攻撃をまねできたとのことで、調査によると41以上の異なるアドレスが全体の80％の資金を盗み出していたそうです。

Nomadは記事作成時点で「24時間体制でこの状況に対処しています。私たちの目標は、関与したアカウントを特定し、資金を追跡して回収することです」と述べ、問題を調査中としています。