【注意!】暗号資産(仮想通貨)ブリッジが世界中のハッカーに狙われている
注意!2021年から集中的に暗号資産(仮想通貨)のブリッジが世界中のハッカーに狙われています。
これは私のツイート。
ハッキングの7割がブリッジを狙ったもので、2600億円の被害が出ている。
逆に言えば、それだけ盗めるからブリッジが狙われる🐮😌
チェイナリシス(CoinDesk Japan) – Yahoo!ニュース.https://t.co/0M3NcI5lJr#暗号資産(仮想通貨)
— beaburu_crypto (@bea_buru) August 6, 2022
2022年8月時点でブリッジへのハッキング被害額の合計は20億ドル(約2600億円)に及びます。これは盗まれた暗号資産(仮想通貨)の69%を占める。つまりハッキングの7割がブリッジを狙っている。
なぜブリッジが狙われているのか?狙われやすいのか?だいたいわかったので、皆さんに注意喚起を込めてこの記事を執筆します。
これを理解せずに暗号資産(仮想通貨)、特にDeFiで暗号資産(仮想通貨)を扱うのは危険です。
では始めます。
もくじ
【暗号資産(仮想通貨)】やばい、ブリッジが世界中のハッカーに狙われている。
* * *
まずは暗号資産(仮想通貨)のブリッジとは何かを簡単に解説しましょう。
ブリッジとは
ブリッジ=橋です。
何と何を繋ぐ橋なのか?
チェーンとチェーンを繋ぐ橋です。
チェーンとは何か?
チェーンとは暗号資産(仮想通貨)が動くプログラミングコードでできたレールだと思ってください。
そのレールの上を暗号資産(仮想通貨)が運ばれていきます。
ビットコインはビットコインチェーン上で動きます。
イーサリアムはイーサリアムチェーン上で動きます。
ソラナはソラナチェーン上で動きます。
この通貨に合わせたチェーンとチェーンを繋ぐ橋。
それが暗号資産(仮想通貨)のブリッジです。
例えば
地下鉄A線から地下鉄B線に乗り継ぐ時に
乗り継ぎ駅があります。
乗り継ぎ駅にはA線からB線に換える人
B線からA線に換える人が行き来するので、
人が多く集まります。
同じように
暗号資産(仮想通貨)のブリッジも
AチェーンからBチェーン
BチェーンからAチェーンに換えるために
暗号資産(仮想通貨)が多く集まります。
暗号資産(仮想通貨)が多く集まる場所=狙われる
これが狙われやすい理由の一つです。
今はほとんどないですが、
銀行強盗がなぜ銀行を狙うのか?
お金が多く集まっている場所だからですよね。
暗号資産(仮想通貨)も同じ理由で
暗号資産(仮想通貨)が多く集まる場所が狙われます。
2022年ブリッジへのハッキング事例
- 1、2022年2月 Wormhole(ワームホール)
- 2、2022年2月 Polygon(ポリゴン)
- 3、2022年2月 Optimism (オプティミズム)
- 4、2022年3月 Ronin(ローニン)
- 5、2022年2月と8月 Nomad(ノマド)
* * *
1、2022年2月 Wormhole(ワームホール)
Wormhole(ワームホール)というプロジェクトがハッキングされました。被害額は約320億円。
原因は、プログラムコードのミスにより「署名の偽造」ができたこと。「署名」とは資金を送金する際に許可を与える著名です。
つまり、送金許可の権限が偽造によりできたので、ハッカーは暗号資産(仮想通貨)を取り放題だったというわけです。
2、2022年2月 Polygon(ポリゴン)
Polygon(ポリゴン)チェーンにも著名の偽造ができるというプログラミングコードのバグが発見された。
これはホワイトハッカーによるものなので、実際には被害がありません。もし悪いハッカーに狙われていたら、ポリゴンチェーン上にある暗号資産(仮想通貨)の90%が奪われていたと言われています。
3、2022年2月 Optimism (オプティミズム)
Optimism (オプティミズム)チェーンにもツールのバグが発見されました。
こちらもホワイトハッカーが発見したので、実際の被害はありませんが、チェーン上にはこの時300億円以上の暗号資産(仮想通貨)があったので、本当なら200億円以上の被害が出ていたでしょう。
4、2022年3月 Ronin(ローニン)
Ronin(ローニン)チェーンではバリデータの秘密鍵が悪用されて、ETHで当時720億円。USDCで31億円相当が盗まれた。
こちらはその後ハードフォークを行って、流出した暗号資産(仮想通貨)の全量をユーザーに補償すると発表している。(※ ハードフォークとはブロックチェーンを盗まれる前の状態に巻き戻して、ハッキングをなかったコトにする「なかったこと作戦」)
5、2022年2月と8月 Nomad(ノマド)
Nomad(ノマド)ブリッジは複数のチェーンをブリッジできるという優れたブリッジなのだけども、2022年2月と8月と数百億円の被害にあっている。
8月2日
コントラクトアドレス(後述します)のアップデート時にプログラミングミスで誰でも資金を移動させることができる状態だった。(もってけ泥棒状態)
チェーン上にあった約253億円がわずか数時間のうちに約24万円まで減少し、最終的に約10万円ほどが残ったらしい。被害額250億円以上。
✓ このように、被害にあうと数百億円の暗号資産が盗まれます。被害額が大きいというのもブリッジハッキングの特徴です。根こそぎ盗まれます。
なぜブリッジが狙われるのか?
前述したことをまとめると
- 理由①:お金がたくさん集まっている場所だから
- 理由②:一度に数百億円盗めるので効率がいい
この二つが狙われる理由の大半です。
これに加えてブリッジが狙われやすい他の理由と、これからさらに狙われる理由を解説します。
2つの理由
- スマートコントラクトは完壁にならない
- 他をハッキングするより効率がいい
わかりやすく深堀します。
1、スマートコントラクトは完壁にならない
スマートコントラクトとはブリッジが機能するためのもので、プログラミングコードでできてます。わかりやすい例でたとえると、パソコンやスマホのOSのようなもの。
スマートコントラクトとはこのOSみたいなもの。どちらもプログラミングコードで書かれています。(※ スマートコントラクトはイーサリアムが最初に開発しました。これによりブロックチェーンが多用化したのです。)
◆ところでパソコンのOSは頻繁にアップデートしてますよね。そしてその度に新しいバグや脆弱性が出てきます。それらが出てくるとすぐに修正が必要となります。その理由はそのバグなどを利用してハッカーに狙われる危険性があるからです。
いつになったら、完璧なOSが出てくるのでしょう?もうWindowsが発売されてから数十年経ってますが、いまだにバグや脆弱性が発見されます。天才が集まるGoogleが開発する、ブラウザーのChromeでさえ毎回脆弱性が見つかってます。
つまり、プログラミングコードで書かれたものは、いつまで経っても弱点がどこかにあるのです。サービスやシステム変更のアップデートをすれば、必ずといっていいほどに新しいバグが発生します。
それはスマートコントラクトも例外ではありません。
前項でなぜハッキング事例を書いたかといいますと、ハッキング理由を知って欲しかったからです。ほとんどがプログラミングコードのバグです。
5つ目のNomadは2月にハッキングされたばかりなのに、8月にコントラクトアドレスのアップデート時に人為的ミスにより、プログラミングコードに致命的なバグが生じたせいで再度ハッキング被害にあってます。
完璧なプログラミングコードができない以上、常にハッカーに狙われる宿命にあります。そしてパソコンのOS進化の過程をみても、完璧なプログラミングコードというものは存在しないという結論にいたります。(今後AIによる未来ではわかりませんが)
2、他をハッキングするより効率がいい
暗号資産(仮想通貨)が誕生する前は、ハッカー達はパソコンOSのバグや脆弱性を狙ったウィルスをメールなどで送りつけて、銀行、企業、個人などのパソコンをハッキングしてました。(彼らはプログラミングコードに詳しくこれを利用します)
パソコン自体にお金はないので、ハッカーはすぐにお金を盗むことはできません。ハッキングしたあと何をするかというと、銀行口座番号やクレジットカード番号、暗証番号などを盗んだり、メールアドレスやパスワードを盗んだりします。
クレジットカード番号やパスワードが盗めれば、それを使って買い物をして、それを転売して利益を得ます。銀行口座番号やパスワードなどが盗めれば口座内のお金を不正送金して盗みます。
しかし、だんだん銀行のネットセキュリティが上がると、そういう事も出来なくなってきたので、彼らは手っ取り早くお金を得るために、盗んだ個人情報を闇売買で売ったり、パソコンを起動不能にして、パソコンデータを人質に身代金を要求したりするようになりました。
かなり手の込んだ下準備と時間をかけて得られるのは、個人からだと数万~数十万円。企業だと数十万~数百万円です。
暗号資産(仮想通貨)とブリッジ誕生後
もうお分かりかと思いますが、ここにきて暗号資産(仮想通貨)のブリッジの誕生です。
暗号資産(仮想通貨)はビットコインが生れてから13年が経ちますが、ブリッジはここ2~3年に誕生してます。なのでまだ日が浅いのですが、ハッカー達は最良の場所を見つけてしまったのです。
ハッカー達はいままでパソコン、スマホ用のOSでやっていたことと同じことを最初にするだけです。つまり、プログラミングコードのバグや脆弱性を見つけること。その後は直接攻撃します。なぜなら、そこにお金があるから。
つまり、いままでやっていたことで例えると、銀行の口座を管理するパソコンに直接アクセスできる状態です。そしてすぐにお金を不正送金して盗み出すことができ、さらに盗める額も桁違いに大きい。(一度に数億~数百億円)
なので、これからますますハッカー達は暗号資産(仮想通貨)狙いに移行するでしょう。そして前述のように完璧なプログラミングコードができない以上、必ずブリッジ上にバグが生じて、そこが狙われる。これに加えて人為的なミスも狙われます。
このことに気付いた瞬間に愕然としました。時間が経てばハッカー問題も解決すると思っていたのですが、パソコンOSの進化をみてもわかるとおり、いつまで経っても安全にはなりません。なので、ブリッジ上に資金を多く置いておくのはかなり危険です。
◆いかがでしょうか?いま現在もこの先も危険なのがわかっていただけたでしょうか?特に過去に被害にあったブリッジはまた狙われやすいかもしれません。(ブリッジの仕組や開発者のレベルや性格、組織の仕組はすぐには変わらないから)
ブリッジとは俗にL2(レイヤー2)と呼ばれるチェーンを繋ぐものです。L2とはイーサリアムに関連したチェーンです。ですが、イーサリアムが危険という訳ではありません。あくまでもイーサリアムとほかのL2を繋ぐブリッジ上が危険です。
イーサリアムは一度だけハッキング被害にあってますが(※ この時にハードフォークを行って別のチェーンが生まれ、2つに分かれた)、その後は一度も被害にあっていない。イーサリアムはビットコインに次ぐ2番目に安全性が高いブロックチェーンです。
≫ 【基本】イーサリアムとは何か?ビットコインとの違いを丁寧に解説
* * *
暗号資産(仮想通貨)の基礎学習がしたい方向けの記事
暗号資産(仮想通貨)の基礎知識を一から勉強する手順の解説【未経験者向け】
「暗号資産(仮想通貨)に興味があるけど、いったいどういうものなのか?イメージが湧かない。難しい説明でなく、簡単に暗号資産(仮想通貨)の基礎知識を勉強する方法はあるの?」・・・こんな人向けに、初心者でもわかりやすく解説している記事です。
* * *
暗号資産(仮想通貨)でお金の増やし方5つを紹介します
暗号資産(仮想通貨)は副業に向いている!暗号資産(仮想通貨)でお金の増やし方を5つ紹介
「暗号資産(仮想通貨)で簡単にお金を増やすことってできるの?暗号資産(仮想通貨)って上昇したり、下落したりと値動きが激しくて初心者が手をだすと損しそう。だれか稼ぎ方教えて。」・・・こんな人向けに、初心者でもわかりやすく解説している記事です。
* * *
暗号資産(仮想通貨)トレードに興味がある方向けの記事
暗号資産(仮想通貨)初心者がトレードで最初に学ぶべきこと【まとめ記事】
「暗号資産(仮想通貨)を買ってみたい。暗号資産(仮想通貨)FXのような短期トレードをしてみたい。暗号資産(仮想通貨)取引所の取引画面の見方を知りたい。」・・・こんな人向けに、初心者でもわかりやすく解説している記事です。