【クリプト基礎知識14】年末特集!-2023年のハッキング振り返り-
2023年最後に今年起こったハッキングを振り返ってみよう
はじめに
我々は常に危険と隣り合わせだ
他人事ではなく、いつ自分に降りかかってもおかしくはないのである
ちょっと今回は違ったテンションで書き始めてみましたが、クリプトに触れていると常に気にしなくてはいけないハッキングやScam。
Defiのハッキングから、個人ウォレットから盗まれることまで、さまざまなリスクがあります。僕自身、今年は結構な量のETHがメタマスクから盗まれました。最初は実感がわかず、これが現金だったらと想像して初めてことの大きさを実感し、呆然としたことがありました。
そんなみんなを悩ますハッキングですが、TRMのレポートによると、2023年は前年比およそ50%は減少しているとのこと。
TRMレポートによると、リアルタイムのトランザクション監視や異常検知システムの取り入れ、デジタルウォレットや取引所プラットフォームのセキュリティ強化などが減少の原因であるとしています。時代は少しずつよくなっているということでしょう。
個人的にはプロトコルの技術的な改善もありつつ、ユーザー自身の意識の向上も大きいのではと思います。
Revokeをきちんと忘れずにおこなうことから、単に怪しいDiscordやtelegramDM開かないとかの初歩的なところまで、みんな1度は痛い目を見たので学習していること、そして2022年後半のクリプト冬の時代到来以降で、ミーハー層が減り、現在のクリプト民のリテラシーが比較的高いこと、などは大きく影響してると思います。
ブロックチェーン エコシステムの保護や監査を専門とするサイバーセキュリティ企業のSlowmistによると、2023年は現在までに457件(この記事執筆中2023年12月28日時点)のハッキングが発生しており、主にEthereumとBNB Smart Chain上の分散型プロトコルが狙われたようです。
これらの大多数はオープンソースで構成されていて、コラボレーションのしやすさや透明性との諸刃の剣で、セキュリティの担保が難しかったのではと想像できます。
ということであっという間の師走、そして今年も終わりということで、2023年の大きなハッキングを中心に振り返ってみます。
Kyber Network:被害額5,470万ドル
KyberSwap は、14 のEVM互換のDEX(分散型取引所)のアグリゲーターです。Polygon、Optimism、Ethereum、Avalanche、BNB Chain などの人気チェーンが含まれ、70 以上の DEX からの流動性を統合することを可能にし、何千という取引データから最適なレートを選択した上で、スリッページを最小にできる!という優れた独自の機能を備えています。ちなみに前回Uniswapで紹介したように、KyberSwapもAMM型のDEXです。そんなKyberも今年ハッキングに見舞われました。
2023 年 11 月にハッカーによる攻撃によって流動性に関連する脆弱性をつかれ、KyberSwap Elastic から約 5,470 万ドルが流出しました。
このハッキングは、Arbitrum,Ethereum,Optimism,Polygonを含む複数のブロックチェーンネットワークにまたがるKyberSwap の流動性プールを標的としたものでした。ハッカーに新しいトークンのミント機能にあるRe-entrancyの脆弱性を狙われ、資金を大幅に失ったうえ、プラットフォーム上のTVLが90% も低下する事態に陥りました。このRe-entrancyの脆弱性に関してはUniswapでも指摘されていましたね。
ただし、ここからが面白い展開で、ハッカーが要求を飲めば、盗んだ資金を返金すると申し出たこと。まるで身代金誘拐事件のような展開になりました。ハッカーは、12月10日までにKyber Network の完全な支配と、オンチェーンおよびオフチェーンのすべてのKyber社の資産の明け渡しを要求しました。
しかし、Kyberはハッカーの要求に屈することなく、代わりに影響を受けたユーザーにKyber Tresury助成金からの補償計画を進めることを発表しています。
Kyberは約4880万ドルの損失を被った分散型金融プロトコルのユーザーに対し、金銭的な支援を提供する意向と発表されています。
Curve Finance: 被害額7350万ドル
Curve Financeは、ステーブルコインのスワップに特化した分散型金融(DeFi)プラットフォームの1つです。現時点(2023年12月28日)では、Curveへの預け入れ金額(TVL)は約20億ドルとなっており、全DEXの中ではUniswapに次いで2番目となっています。
CurveはEthereumを中心に、BNB Smart ChainやPolgonなどの10チェーンで利用可能となっており、独自のガバナンストークンとしてCRVが存在しています。
ハッカーが Vyper 0.02.15 ステーブルコインプールの欠陥のあるRecursive(Re-entrance) Locksを利用して資金を流出させました。ここもKyberのケースと手口は似ていそうです。
アタックを受けた主なプロトコルとプールは、 Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis, and CRV/ETHの各プールだった模様。
ハッキングが発覚したのち、ホワイトハットハッカー(テスト目的や不正を発見するためにシステムに侵入する善意のハッカーのことを言います)たちが 10% の報奨金を受け入れた後、盗まれた資金の大部分がCurve Financeに戻ってきました。そしてMetronome と Alchemix も複数のホワイトハットハッカーの努力のおかげで、それぞれ 600 万ドルと 1,300 万ドルを回収することに成功。盗まれて戻ってくるのは結構レアケースではないかと思います。Curve はこの戻ってきた資金を公平に分配すること、被害にあった人への支援を表明しました。
Curve DAO、7月のハッキング被害者に4400万ドルの補償で合意。
Euler Finance: 被害額1億9700万ドル
Euler Finance(オイラーファイナンス)とは、イーサチェーン上で開発されたDeFiレンディングプロトコルです。Euler Financeでは、Uniswap(V3)上においてWETH(Wrapped Ethereum)との流動性ペアをもつ全てのトークンを上場させることができ、ユーザーは暗号資産の借入と貸付を行うことができるようになります。
Euler Finance(オイラーファイナンス)とは、イーサチェーン上で開発されたDeFiレンディングプロトコルです。Euler Financeでは、Uniswap(V3)上においてWETH(Wrapped Ethereum)との流動性ペアをもつ全てのトークンを上場させることができ、ユーザーは暗号資産の借入と貸付を行うことができるようになります。
2023年3月12日、自称ジェイコブと名乗るハッカーによってEuler Financeがハッキングされ、1億9700万ドルもの資金が流出する事件が発生しました。ここでの攻撃手法はフラッシュローン攻撃というもので、過去にはAvalanche上のDeFi Staking PlatformであるNereus Financeが同じ手口であるフラッシュローン攻撃を受けるなど、DeFiを標的としたハッキングで使われることが多い手法になります。
このときハッカーはフラッシュローン攻撃を利用して、Euler Financeのスマートコントラクトの欠陥を攻撃。その影響で DAI、wBTC、stETH、USDC などが流出しました。
※フラッシュローンとは、同一のトランザクション内で、暗号資産の借入と返済を瞬間的にほぼ同時におこなうことで、通常は必ず必要になるDeFiレンディングでの担保が必要なく暗号資産を借りることができるようになります。新しいブロックが生成される前に、借りて返すフラッシュローンは、借入の期間で言うと数秒単位の短いものになります。
フラッシュローンの詳細はこちらがわかりやすいです。参考にしてください。
MYFOREX:フラッシュローンとフラッシュローン攻撃を解説
しかし、このジェイコブと名乗るハッカーをEuler Finance は追跡し、コミュニケションラインを確保することに成功。これにより攻撃者は捕まるのではなど恐怖を感じて、即座に流失資金のうち回収可能な資金すべてをEuler Finance側へ返却したようです。
上記はChainalysisが作成した、資金がEuler Finance戻されている送金履歴を表しています。このEuler Financeが取り戻した金額は、クリプトの歴史上、最大級の流失資金回収を達成した事案でもあります。パチパチ👏
そしてジェイコブと名乗る人物が起こしたこの事件、じつは新たな事実も発覚します。Eulerのハッキングで盗まれた100ETHが、北朝鮮のハッキング集団のLazarus Groupのウォレットに送金されていることが発覚します。Lazarus GroupはAxie Infinity Ronin Bridgeのハッキングを行ったことで知られています。
このフラッシュローン攻撃自体がLazarus Groupによるものなのか、捜査当局のミスリードを誘うための策略だったのかは、現在のところは不明です。
そんなEuler Financeは現在サービスクローズ中ですが、モジュラー型のオープンレンディングソリューションが準備中であることを発表。最新のモジュラー型採用のサービスということでいつ頃サービスインするのかは注目したいです。
Mixin Network: 被害額2億ドル
Mixin Networkは、デジタル資産向けの高速P2Pクロスチェーン取引ネットワークになります。他のチェーンからMixin Networkに資産を入金することで、1秒以下の高速取引を実現し、100万TPS以上のトランザクション容量を確保しながら、さらに取引のプライバシーを確保することができます。そしてなんとガス代ゼロを実現しているというプロトコル。
2023年9月、Mixinはハッカーがサードパーティのクラウドサービスプロバイダーに侵入し、プラットフォームから約2億ドルの資産が盗まれたと発表した。この攻撃の直後、Mixin Networkは停止。
Mixin Networkは当初、ハッカーが残りの資金を返せば2000万ドルのバグ報奨金を遡及的に支払うと申し出ていましたが、その後のライブ配信で、Mixin Networkの創設者であるFeng Xiaodong氏は、プラットフォームが返金対応できるのは盗まれた資産の50%まで、残りは最終的に将来の利益で支払う考えだと発表しました。
Multichain Bridge: 1億2600万ドル
以前はAnyswapと呼ばれていたMultichainは、ことなるチェーン間の暗号通貨やNFTのブリッジを簡単に実現できるサービスです。ユーザーがペッグされたトークン、もしくは流動性プールを利用し資産をブリッジすることができます。2021年にはBinance Labsが12億ドルの評価額で6000万ドルの資金調達行っています。
この調達当時は、クロスチェーンのブリッジプロトコルとしては1、2を争うほど非常に人気だったMultichainですが、2023年7月7日にハッキングされ、1億2600万ドル相当の様々な暗号通貨が流出しました。この攻撃によってFantom、Moonriver、Dogechainを含む複数のブロックチェーンネットワークと、さまざまな暗号資産を巻き込んだ事態に発展します。
残念ながら未だハッキング元はまだ特定されていません。原因としては、ハッカーがMultichainのMPC(マルチパーティコンピューテーションの略)キーをコントロールできた可能性が浮上しています。そしてそれゆえに、このハッキングは内部犯行によるラグ・プルではないかという疑惑も浮上しています。
それを裏付けるように、ハッキング発生以前2023年5月にMultichainのCEOであるZhaojunが失踪し、その後、チームが必要な技術的メンテナンスを行えなかったことも一因とされています。
そんなメンテナンスも行えていないMultichainですが、現在もサービスは稼働しているようです。ユーザーは資産のブリッジを初期化はできるようですが、転送が完了することはないとのこと。
multichainのチームは、Multichainのドメインアカウントにアクセスできないため、サービスをダウンさせることはできない状況である、とアナウンスを出しており、サービス利用を控えてほしいとのこと。気をつけましょう。ちなみにWebサイトからEnter APPをクリックするとセキュリティ警告が出ます。その先へのアクセスは控えた方がいいでしょう。
Atomic Wallet: 1億ドル以上
Atomic Walletは、2017年にエストニアで設立された、Atomic Wallet exchangeをもつ暗号資産ウォレットサービスを提供しており、ユーザーはウォレット内で銀行カードでの暗号資産取引もすることができるようです。約 20 種のチェーンと、500 以上のコインとトークンをサポートしています。独自トークンとしてはAWCがあります。
そんなAtomic Walletも2023 年 6 月に大規模なハッキングに見舞われ、ユーザーベースの約 0.1% の 1 億ドルを超える損失が発生しました。そしてこのハッキングは、先ほどEuler Financeでもご紹介した北朝鮮のハッキング集団Lazarus Groupが犯したとされています。
侵害の正確な原因は不明のままですが、秘密鍵生成時のブルートフォース攻撃(日本語で言うと総当たり攻撃。あらゆる組み合わせのパスワードを手当たり次第に試す、映画とかで見るようなあれです)やサプライチェーン攻撃(サードパーティ製のソフトなどに仕込んだトロイの木馬などのウィルスなどによる攻撃)など、いくつかの可能性が示唆されています。
現在まで、まだ原因は調査中とのこと、さらに補償に関しても具体的な提案は出されていないようで、Atomic Walletの運営、開発会社は、おそらく被害者たちからの訴訟だと思われる少なくとも3つの訴訟を抱えているとのこと。
Stake.com: 4100万ドル
Stake.comはオンラインカジノサービスを提供するキプロスの会社です。いわゆるスロット、ブラックジャック、ルーレットなどの伝統的なカジノゲームに加えてスポーツベッティングサービスを提供しています。ライブディーラーとのオンラインでのストリーミング対戦なども可能になっており、暗号資産で賭けをすることができます。
2023年9月にこのStake.comもハッキングに見舞われ、Ethereum、Polygon、BNB Smart Chainなどが影響を受け、およそ4100万ドルの損害を受けました。
攻撃中に盗まれた資金にはETH、USDT、USDC、DAIなどが含まれていましたが、各チェーンを移動しながら最終的にはBTCに交換されました。
FBIによると、このハッキングも北朝鮮のハッキング集団Lazarus Groupによって実行された可能性があるとのこと。
しかし、今回のハッキングに関しては、Stakeのホットウォレットの秘密鍵のハッキングなどではなく、代わりにStakeの内部のトランザクション承認システムに侵入し不正な取引を承認できるようにしたようです。
まとめ
小さい資金流出でいうと、ほぼ毎週のように起きているハッキング。
自分の資産を守るために、自分自身で気をつけれることは気をつけて行きましょう。常にDYOR、そしてこまめなRevokeを徹底、ウォレット接続の際には、対象プロトコルに何をapproveするのかをきちんとチェックするなどの対策は最低限必要でしょう。
2023年の締めくくりとして、そして2024年の自戒の意味も込めて今年のハッキングをまとめてみました。
2024年こそは、BullishでWAGMIな1年になりますように!
Cheers!
🔸参考資料🔸