本日、Nomadブリッジが1億9000万ドルのハッキング被害に遭い、DeFi史上4番目に大きなハッキングとなりました。また、これは「初の分散型ハッキング」とも呼ばれており、ユーザーは単純なコピー&ペースト操作で資金を盗み出しました。以下に、ハッキングの経緯をまとめました。👇
1. Nomadは、イーサリアム、アバランチ、ムーンビーム、エヴモス、ミルコメダ間の資産移転を提供するクロスチェーンブリッジです。本日、1億9,000万ドルのハッキング被害に遭い、TVL(資産総額)は1億9,000万ドルからわずか12,401ドルに急落しました。
2. @CertiK によるインシデント分析では、元のコードを調査した結果、「定期的なアップグレードにより、Nomad 上で検証メッセージがバイパスされる可能性がある」ことが判明しました。攻撃者はこれを悪用してトランザクションをコピー&ペーストし、介入前にブリッジを空にしました。
3. @samczsun によるこの技術的な説明は状況をうまく要約しています。「committedRoot」がゼロに設定されていたため、攻撃者はメッセージ検証プロセスを回避できました。
4. 最初の攻撃者がこの脆弱性を特定した後、ユーザーも基本的に元のコードをコピーして自分のウォレット アドレスに貼り付けることで、攻撃に追随しました。
5. @0xfoobar はこれを「初の分散型クラウドルート」と名付けました。
6. ハッキングは直接の関係のない複数の当事者によって実行されました。
7. 面白いことに、どうやらハッカーたちはスキルがなかったようで、もし彼らがその気になれば、1回の取引ですべての資金を盗むこともできたようです。
8. ノマドの資産を守るために、複数の「ホワイトハット」ハッカーが介入し、資金を「盗んだ」。ホワイトハットハッカーとブラックハットハッカーの資産の割合は不明ですが、以下のグラフでその内訳が示されています。
9. 奇妙なことに、Nomad の最初の対応では根本的な問題に対処せず、代わりにランダムな「なりすまし」に焦点を当てることにしました。
10. その後、当局は公式の最新情報を発表し、「状況に対処するために24時間体制で取り組んでいる」と述べた。
11. 過去12ヶ月間で、ブリッジから13億ドル以上が盗まれました。これは、暗号資産におけるブリッジの根本的な脆弱性と、エクスプロイトを受けにくい相互運用性/ネイティブエコシステムの必要性を明確に示しています。
12. 6 か月前に @VitalikButerin が $ETH フォーラムで有名に (そしておそらく予言的に) 指摘したように、私たちは何度もこれらの欠陥を思い知らされます。