最新のデータによれば、10月は今年に入って、暗号資産プロトコルに対する攻撃が最も盛んな月となり、約7億6000万ドルが盗まれた。ブロックチェーンセキュリティ企業ペックシールド(Peckshield)によれば、2022年の暗号資産ハッキングの累計被害額は少なくとも29億8000万ドルと、すでに2021年の年間被害額の2倍を超えている。
止まらない攻撃
ペックシールドは10月31日に最新のデータを発表し、一部業界関係者が使う「Hacktober(ハッキングの10月)」という言葉を裏付ける形となった。暗号資産界に対する「エクスプロイト(脆弱性につけ込んだ攻撃)」がニュースにならない週はなかったほどである。ペックシールドでは、10月に約53のプロトコルを巻き込んだ少なくとも44件のエクスプロイトが発生したと推計している。
11月もすでに波乱の幕開けを切った。暗号資産取引所デリビット(Deribit)は2日、2800万ドル相当のビットコイン(BTC)、イーサ(ETH)、ステーブルコインのUSDコイン(USDC)の喪失につながったホットウォレットのバグを直すために、デリバティブ取引所からの顧客の資産引き出しを一時停止。
ソラナを基盤にした分散型金融(DeFi)プロトコル「ソレンド(Solend)」も、100万ドルのエクスプロイトの被害を発表した。一方、ビットコインのスケーリング・決済レイヤーであるライトニング・ネットワーク(Lightning Network)では、取引不履行につながる可能性のある新しいバグが発見された。
10月に盗まれた資産のうち、これまでのところ約1億ドルが取り返されたというのは、ほとんど慰めにはならない。暗号資産は嘘つき、盗人、攻撃者たちの巣窟になっており、業界の評判は取り返せない形で傷ついてしまったかもしれない。
かつては違法なダークネット行為の巣窟と考えられていた暗号資産が、実は世界的な犯罪行為においてはほんの少しの割合しか占めていないという事実も、ほとんど慰めにはならない。それは単に、オープンで検証可能なブロックチェーンが、悪いことをするには不向きな場所だからかもしれない。
しかし、暗号資産取引全体のうち、犯罪行為に結びついたものはほんのわずかな割合だけであったとしても、ハッキングは業界の評判を傷つけ続けるだろう。
参加を検討する人たちを怖がらせることに加え、ハッキングは当局による規制の在り方にも深刻な影響を与える。
2022年でハッキングの被害額が2番目に多かったのは、3月に発生した人気NFTゲーム「アクシー・インフィニティ(Axie Infinity)」専用のレイヤー2ソリューション「Ronin Network」に対する6億2500万ドルのエクスプロイトだ。北朝鮮のハッカー集団によるものと考えられており、最終的にはイーサリアム基盤の暗号資産ミキサー、トルネード・キャッシュ(Tornado Cash)に対する、米財務省からの制裁につながった。
機能や強みを逆手に取る
エクスプロイトは、形態も規模も様々だ。多くの場合、ユーザーに担保の供出を求める、異なるブロックチェーン間のコミュニケーションポータルであるブリッジは、とりわけ脆弱性の高いターゲットのようだ。「マルチチェーン」の世界が現実になるとすれば、よりレジリエントなインフラが必要なことおは明らかである。
暗号資産やDeFiの根本的なデザインにつけ込むようなエクスプロイトもある。例えば、2020年にDeFiが台頭する中、「フラッシュローン」攻撃が増加した。
これはコードのバグにつけ込むのではなく、人々が単独のブロック内で多額の暗号資産を借り入れ、それを返済することを可能にする、(一部の人にとっては)望ましいメカニズムである。しかし、時にはかなりの取引手数料の支払いを免れつつ利益を手にすることができる手法として、悪用されることもあるのだ。
他に懸念の高まっている分野は、実世界からのデータ供給のためにブロックチェーンオラクルを活用するプロトコルだ。先月にはハッカーが、マンゴー・マーケッツ(Mango Markets)の価格フィードを操作して、1億1600万ドルのローンを引き出し、同プロトコルの流動性が枯渇。10月12日に発生した3件の攻撃のうちの1つであったこの攻撃の手法は、2日のソレンドへの攻撃でも繰り返し使われたようだ。
DeFiの中核的な機能と、DeFiが約束する非許可型取引につけ込んだ攻撃を止めることは困難だ。この点は、一時は最も被害額の多かったラグプル(資金の持ち逃げ)という、暗号資産界が長く苦しんでいる問題とも共通している。
オープンアクセス専門の出版社MDPI(Multidisciplinary Digital Publishing Institute)が今年発表し、最近アップデートしたレポートによれば、ローンチされたトークンの約97%が、「悪意のある」アクティビティに関連していた。
専門家たちは、労力のあまりかかっていないフィッシングやネズミ講のすべてに被害者がいるわけではないと述べ、2万7000のトークンを対象としたそのデータを批判した。
一方、フランスのデジタル資産業界団体L’Adanのマーク・ゼラー(Mark Zeller)氏のように、暗号資産ユーザーは、リスクを承知で暗号資産に関わるのだと主張する人たちもいる。ブロックチェーンを超えて暗号資産をブリッジしたり、分散型マネーマーケットで流動性を供給する方法を分かっている人は、おそらくそうだろう。
しかし、そのような主張は、暗号資産レンディングを手がけたセルシウス・ネットワーク(Celsius Network)やボイジャー・デジタル(Voyager Digital)のように、一般の人たち向けに広告を行い、しっかりとしたバンキングやトレーディングアプリに似たユーザーエクスペリエンスを提供していたプラットフォームの場合には、あまり説得力がない。DeFiもオンランプを専門化し、洗練されたものにしようと動いており、バグを一掃することができるかもしれない。
|翻訳・編集:山口晶子、佐藤茂
|画像:Shutterstock
|原文:With Hacks at a Record High, Crypto Needs to Find Better Ways to Keep Users Safe