10年間で損失が200億ドルを超える中、ハッカーはブロックチェーンに注目

テクノロジーは善悪や善悪を理解できず、ブロックチェーンのハッキング事件は後を絶ちません。

2021年のブロックチェーンの世界では、明るい面が繁栄し、暗い面も着実に発展しています。

SlowMist Hackedの不完全な統計によると、2021年にはブロックチェーンの世界でセキュリティインシデントが頻繁に発生し、その数、危険性、関与額、影響規模の点で前年をはるかに上回りました。その中には、稀な「ホワイトハットハッカー」事件も発生し、人々にセキュリティ上の警鐘を鳴らした。

いわゆる「ホワイトハットハッカー」とは、ネットワークのセキュリティを維持するためにハッカーが一般的に使用する破壊的な攻撃方法を使用する人々のグループを指します。彼らは「ブラックハットハッカー」とは対照的に存在します。しかし、2021年に最も有名になった「ホワイトハットハッカー」は、攻撃を実行する前に許可を得ておらず、被害額は6億ドルに上った。しかし、結局、ハッカーは盗んだ資産を全額返却し、Poly Networkは法的責任の追及を断念した。

テクノロジーは善悪や善悪を理解できず、ブロックチェーンのハッキング事件は後を絶ちません。取引所、ウォレット、パブリックチェーン、さまざまなエコシステムDApp、DeFiプロジェクト...ハッカーの焦点はどれでしょうか?

6億ドルの資産を盗んだハッカーはそれを返却し、警告を与えたかっただけだと述べた

2021年8月、匿名のハッカーがPoly Network（異種クロスチェーンプロトコル）を攻撃し、イーサリアム、BSC（バイナンススマートチェーン）、Polygon（イーサリアムサイドチェーン）上の暗号資産2億5,000万ドル、2億7,000万ドル、8,500万ドルを密かに送金し、総額は最大6億1,000万ドルに上りました。全体のプロセスには 34 分かかりました。

しかし、すべての関係者がハッカーを阻止し始めたため、ハッカーは金銭には興味がないと主張し、12日以内に盗んだ資産のほとんどを返却した。 「ホワイトハットハッカー」という呼称が誕生した。

被害総額は6億1000万ドルで、これはDeFi史上最大のハッキング事件であるだけでなく、有名なMt.Gox事件（744,408 BTC、当時のレートで約4億ドル）やCoincheck事件（5億2300万XEM、当時のレートで約5億3400万ドル）を超え、暗号通貨全体史上最大のハッキング事件でもあります。

このような大規模なセキュリティインシデントに直面して、「当事者」は手を抜くことはできなかった。ポリネットワークは同日午後8時38分に声明を発表し、外部に攻撃を受けたことを発表し、さまざまなチェーン上のハッカーの特定のアドレスを掲載し、マイナーと取引所に協力を呼びかけ、ハッカーのアドレスによって開始された取引をブロックするよう求めた。

(Poly Network Twitter スクリーンショットより)

BinanceのCEOである趙長鵬氏やOKexのCEOであるジェイ氏らが支持を表明しており、ステーブルコインUSDTの発行元であるテザーの最高技術責任者であるパオロ・アルドイノ氏も、テザーがハッカーのアドレスにある3300万USDTを凍結したと述べた。

追跡と封鎖にもかかわらず、ハッカーはさまざまな手段を使ってコインを素早く混ぜ合わせました（つまり、トランザクションには多数の入力と出力が含まれており、入力と出力の接続は実際には切断されているため、追跡が困難です）。同日、Curveを通じて9,706万ドル相当のUSDCがDAIに交換され、CurveフォークプロジェクトEllipsis Financeを使用して約1億2,000万ドルがBSCにミックスされました。

シチュエーションニュースによると、事件当日、ポリの運営チームは夜通し作業を行った。盗まれた資産の巨額さによるプレッシャーに加え、暗号通貨コミュニティにおける際限のない投機も、彼らにとって悩みの種となっている。セキュリティ研究者のムディット・グプタ氏、プリミティブ・ベンチャーズの創設パートナーのドビー・ワン氏らが相次いで「内部攻撃」の可能性を示唆する記事を発表した。ポリが事件を「指揮し、行動した」と推測する者もいた。

大規模な包囲作戦は傍観者の好奇心を掻き立てた。事件当日、ある「おせっかいな人物」がハッカーのアドレスにトランザクションを送信し、ハッカーのUSDTがブラックリストに載ったことを思い出させるメッセージを残した。ハッカーは13.5 ETH（約42,495.84米ドル）で応答しました。

こうして「富への道」が始まり、多数の「観客」が現場に押し寄せた。プロジェクトについて語り投資を求める者もいれば、夢について語り授業料を求める者、ハッカーに保有コインを「引き上げる」よう求める者、さらには直接弟子入りしてお互いを兄貴分として認め合う者もいた。

しかし、観客が興奮のあまり見守っていたちょうどその時、事態は一変した。

事件の翌日、Poly Networkを攻撃したハッカーは自らEtherscanに姿を現し、オンチェーン取引ノートを通じて盗んだ資産を返還する意向を表明し、Polyプロジェクトにマルチ署名ウォレットを提供するよう要請した。

「なぜ返金を希望するのですか？」

「私はお金にはあまり興味がありません」とハッカーは答えた。 「これほどの富を得ることはすでに伝説であり、世界を救うことは永遠の伝説です。」

2021年8月11日、ハッカーはUCDC100万ドル、BTCB110万ドル、その他260万ドル相当の資産を含む470万ドル相当の資産を返還した。同日遅く、ハッカーは再び、Poly NetworkチームがBinance Smart Chainに残した支払いアドレスに約1億2000万BUSD、2万6600ETH、1000BTCBを返還した。その総額は約2億5000万米ドルに上る。

その後12日間で、ハッカーたちはBSC、Ploygon、Ethereum上の盗んだ暗号資産を徐々に返還していった。この件に関する世論も、盗難に対する当初の衝撃と批判から、ブロックチェーンネットワークのセキュリティに焦点を当てたものへと変化した。

2021年8月13日、F2Poolの共同創設者であり、Coboの共同創設者兼CEOであるShenyu氏はブログ記事を公開し、Poly Networkの攻撃者をネットワークセキュリティの守護者、「ホワイトハットハッカー」と呼んだ。また、彼はポリネットワーク事件を記念し、すべての参加者に感謝するために、クリプトボクセル内に記念碑を建てると述べた。その後、Poly Network もメインネットのアップグレードを発表し、以前の攻撃者を Poly Network の主任セキュリティ コンサルタントに招聘しました。

金があるところにハッカーがいる

振り返ってみると、「ホワイトハットハッカー」事件は、クロスチェーンプロトコルが侵害されたことに基づいて発生しました。その後の脆弱性は、イーサリアムのパブリックチェーン、Polygonエコシステム、ステーブル通貨USDTなどにも影響を及ぼしました。これにより、ハッカーはBinance、OKEx、Tetherなどの大手企業によってブロックされ包囲されているにもかかわらず、コインを素早く混ぜ合わせ、盗んだ資産を転送することができました。ここで明らかにされたセキュリティリスクは、暗号通貨の世界では警戒する価値があります。

SlowMist Hackedの不完全な統計によると、2021年にブロックチェーンエコシステムで合計236件のパブリックブロックチェーンセキュリティインシデントが発生し、損失は98億8,600万米ドルを超えました。そのうち、各種エコシステムDApps、DeFi等に関わるセキュリティインシデントが127件あり、大部分を占めています。さらに、取引所のセキュリティインシデントが14件、パブリックチェーンのセキュリティインシデントが8件、ウォレットのセキュリティインシデントが3件、その他の種類のセキュリティインシデント（プロジェクト関係者の逃走など）が84件ありました。

上記のデータから、2021 年にブロックチェーンの世界で最もハッカーによるセキュリティ インシデント被害が大きいのは、DApps、DeFi プロジェクト、さまざまなエコシステム内の取引所であることが分かります。

業界の上級セキュリティ専門家はChain Newsに対し、暗号通貨取引所は多額の資金が集中し、人員が複雑で、防御が弱く、ユーザーのセキュリティ意識が不十分なため、セキュリティ上の脆弱性が生じやすいと語った。弱点から見ても利益から見ても、それらはハッカーが無視できない「スイートスポット」です。取引所のコールド/ホットウォレットを攻撃してコインを盗むことは、2021年の顕著な特徴です。

2021年2月、ニュージーランドの取引所Cryptopia（2019年1月から休眠状態にあった）の清算人であるグラント・ソーントンが管理するコールドウォレットが盗まれ、ハッカーがウォレットにアクセスしてXtake約196万ドルを盗んだ。同年8月19日には、日本の仮想通貨取引プラットフォーム「Liquid」のホットウォレットも盗まれ、被害総額は約9,135万ドルとなった。

取引所に加えて、資金をプールするウォレットもハッカーにとって魅力的であり、2021年にはウォレット漏洩のセキュリティインシデントが多数発生しました。AMLの11月のレポートによると、偽のウォレットアプリによって数万人が盗難に遭い、損失額は13億ドルに上ります。

取引所に加えて、パブリックチェーン攻撃についても言及する価値があります。 2021年8月から、BSVは初めて51％攻撃を受け、約100ブロックが再編成されました。その後、Ethereum クライアント Geth の脆弱性により、ETC メインネットがフォークされました。その後、Solana メインネットのベータ版もサービス拒否攻撃を受け、ネットワークは 17 時間オフラインになりました。

しかし、パブリックチェーン、ウォレット、取引所のいずれであっても、関与する金額、攻撃の数、影響の範囲の点で、DeFi、DApp、NFT、クロスチェーン部分と比較することはできません。この部分は、昨年ハッカー攻撃が最も頻繁に発生した地域でもあります。

DeFi の誕生以来、数え切れないほどのリスクが伴ってきました。近年、多くのDeFiプロジェクトの価値が爆発的に倍増しており、ハッキング事件も頻繁に発生しています。フラッシュローン攻撃、契約の抜け穴、互換性やアーキテクチャの問題、秘密鍵の漏洩やフロントエンド攻撃、内部犯罪... DeFi には驚くべきトリックが数え切れないほどあります。

2021年、ETHエコシステムSushiSwapが2度攻撃を受け、SIL.Financeコントラクトに高リスクの脆弱性が現れました。 BSCエコシステムでは、Cream Financeがフラッシュローンによる攻撃を3回受け、累積損失は1億8,700万ドルを超えました。 EOS エコシステムの flash.sx フラッシュローン スマート コントラクトが「再侵入」攻撃を受けました。 Polygon エコシステムでは、イールドファーミングプロトコル PolyYeld Finance プロジェクト契約が活用されました。さらに、HECO エコシステムでは DDEX コード バックドア インシデントも発生しました。

「DeFi、DApp、NFT、クロスチェーン」のセクションではセキュリティインシデントが頻繁に発生します。この現象は2021年にだけ起きているわけではありません。Chain Newsによると、このパターンは2018年にセキュリティインシデントの数が急増して以来現れており、2022年まで続いています。

10年間で239億ドルの損失

2008年から2022年にかけて、ブロックチェーンの発展とともに、ハッキング事件は骨についたウジ虫のように増加してきました。

SlowMist Hackedデータによると、2012年以降、世界のブロックチェーンエコシステムで610件のパブリックブロックチェーンセキュリティインシデントが発生し、総損失は約238億7,800万米ドルに上ります。年ごとに見ると、2018年以降は段階的な変化が明確に見られ、件数・金額ともに前年比で倍増している。

ブロックチェーンセキュリティ企業PeckShieldとBCSECの調査データによると、2018年のブロックチェーンセキュリティインシデント数は138件に達し、22億3,800万米ドルの経済損失が発生した。その中で、イーサリアムパブリックチェーンとEOSパブリックチェーンが最も大きな打撃を受け、次いで取引所とウォレットが打撃を受けた。

その中には、「BECチェーンがハッカーの攻撃を受け、1日で9億ドルが消失」など、イーサリアムパブリックチェーン上で54件以上のインシデントがあった。 EOSパブリックチェーンでは49件以上のセキュリティインシデントが発生し、そのほとんどはDAppエコシステムの流行中（8月～11月）に乱数、偽通知、トランザクションのロールバック、その他の攻撃によって引き起こされ、直接的な経済損失は747,000 EOSに達しました。

比較すると、取引所への攻撃は10件以上あったが、より大きな影響があったのは、2018年1月26日の「日本のコインチェック取引所の盗難」と、同年3月7日の「ハッカーによるバイナンス取引所のフィッシング」のみだった。 9月の「BTC過剰発行脆弱性」と同様のBTC事故は3件のみで、被害が出る前に修復されました。

これに基づき、「Chain News」は、パブリックチェーン、取引所、ウォレット、ETHエコロジー、BSCエコロジー、TRONエコロジー、EOSエコロジー、Ploygonエコロジー、HECOエコロジーに代表される9つの主要なセキュリティ事故現場のうち、EOSエコロジーとETHエコロジーが特にハッカーの懸念材料となっており、取引所への攻撃件数も比較的多いことを発見した。これら3つの主要分野では356件を超えるセキュリティインシデントが発生し、その総額は125億ドルを超え、全体の52.35%以上を占めました。

同じパターンは、Atlas VPN チームが発表した「2020 年のブロックチェーン ハッカー」シリーズのレポートにも反映されています。 Atlas VPNチームは、2020年にETH DAppsへの攻撃が47件成功し、暗号通貨取引所への侵害が28件発生したと指摘した。

DeFi、DApp エコシステム、取引所を狙ったハッカー攻撃の現象はこれまでと変わらず、2022 年もまだ続いています。

2022年1月18日現在、SlowMist Hackedの統計によると、2022年に世界のブロックチェーンエコシステムで公開されたブロックチェーンセキュリティインシデントは合計16件ありました。 6件の暴走インシデントを除き、すべてDeFiおよびDAppエコシステムにおけるセキュリティインシデント、および取引所におけるセキュリティインシデントでした。

このような状況下で、多くの権威ある組織が報告書を発行し、暗号通貨業界に対し、ハッカーの攻撃に備え、ブロックチェーンのセキュリティ構築を強化するよう呼びかけています。マカフィーは以前、「ブロックチェーン脅威レポート」を発行し、「ブロックチェーンは分散型オンライン取引の革新的な基盤だが、セキュリティ上のリスクがある」と述べた。 2021年3月、中国情報通信研究院も「ブロックチェーンセキュリティ能力評価分析報告書」を発表し、ブロックチェーンにおける「トップ10のセキュリティリスク」を指摘し、外部に予防意識を確立するよう繰り返し呼びかけた。