毎日Crypto News ~仮想通貨, ブロックチェーン, NFT, DeFi~

Share this post
クロスチェーンBridgeのWormholeがハッキング被害、370億円が流出
nobumei.substack.com

クロスチェーンBridgeのWormholeがハッキング被害、370億円が流出

#174 2022_0203のMainTopics

nobumei
Feb 3, 2022
11
Share this post
クロスチェーンBridgeのWormholeがハッキング被害、370億円が流出
nobumei.substack.com

#174 Substack

赤ちゃんの世話で時間が取られるのでメルマガ頻度が落ちそうです(言い訳)

前回記事:[Daily Topics]Web3.0ビジネスモデル6選

解説ラジオ:ラジオで聞くならこちら(回は違うよ)

English ver:英語訳してくれていた方が電通に転職されてしまったのでHelpfulです

This newsletter is now being translated into English on the same day. I'm really grateful for the instant translation !

→毎回、これ書いていたら英訳してくれる方が現れました!奇跡!

本日のメイントピック

Wormhole, ハッキングにより120k WETH流出被害、日本円で240億円

クロスチェーンBridgeであるWormholeがハッキング被害にあい、240億円相当の流出事件を起こしてしまいました。

Twitter avatar for @wormholecrypto
Wormhole🌪 @wormholecrypto
The wormhole network was exploited for 120k wETH. ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly. We are working to get the network back up quickly. Thanks for your patience.
10:25 PM ∙ Feb 2, 2022
4,098Likes960Retweets

クロスチェーンのやらかしに対しての個人的ん気持ちはこんな感じです。まぁ、Wormholeは四天王の中でも結構強い印象があったのですが、やられるときはやられちゃうんですね。

今日はブロックチェーンの相互運用性を高めるBridgeの重要性とそこに内在されるリスクについて書いていきます。

Bridgeとはなんだ?という方はてんちょーが書いている記事をご一読されることをオススメします。

てんちょーのクロスチェーンブリッジに関する記事

では本編です。

Wormholeとは

WormholeはSolanaとBSC・Terra・Ethereumブロックチェーン間をブリッジする、クロスチェーンのメッセージングプロトコルです。「ガーディアン」と呼ばれる19人の独立したノードバリデータがメッセージの検証を担います。

海外取引所のFTXが扱っているERC20系のトークンをFTXの媒介なしにSolana上に送金することができ、Solana上の流動性増加に貢献していた主なプロトコルでした。

Wormholeの存在によってSolanaと他のチェーンとの相互運用性が高まり使いやすくなっていました。相互運用性についてはこちらで解説しています。

参考:[Daily Topics]ブロックチェーンの相互運用性を解決するPolkadotとCOSMOSをざっくり理解する

Ethereum上で持っている暗号通貨を他のチェーンに持っていくことを考えた時に、手数料は安く、流動性は高い方がユーザー体験は良いものになります。Wormholeはそういう意味でBridgeとしてBridgeの第一候補に上がってくるプロダクトでした。

こちらは、手数料や流動性から見たサードパーティブリッジ比較一覧です。緑色の網掛けしてあるところがWormholeなので、Solanaへの流入流出ではメインに使われていたことがわかると思います。

https://docs.google.com/spreadsheets/d/1jYZOfU2R3PdzRmnY9Nfc4pzerX_YSInNdyhtSj_3oWY/edit#gid=0

今回発生した被害は370億円

Wormholeでは、あるチェーンから別のチェーンに資産をブリッジさせるときに、出発チェーンでの資産をロックし、到着チェーン上でWrappedしたAssetを新規発行する「ところてん方式」を採用していました。 $ETH がロックされて $WETH が新規発行されると言った感じです。

詳細情報はまだ出揃っていないので確定ではないですが、これは昨年680億円流出したPolyNetworkと同じ被害かなと思います。

参考:[Daily Topics]クロスチェーンPFのPoly Network, DeFi史上最大670億円のハッキング被害に、レスバトルの末無事奪還

ハッカーはこのブリッジ機能のバグを悪用してソラナ上で担保$ETHを必要とせずに8万ETHを新規にSolana上に発行しました。現在の円環残で380億円分の価値が無担保に発行されたので、Solana上のETHの価値が希釈されました。

これだけの「価値」が突然Solana上で発生したため、Solana上で稼働しているDeFiにも影響が及んでいる様子です。

こちらはWormholeではなく、Muitichainという別のBridgeプロトコルですが、MultichainがBridgeした先のチェーン上で稼働するdAppsを可視化したカオスマップです。Muitichain上にRockされている資産はWormholeよりも多いのでPolyNetworkの過去最高の流出金額を超えてくるだろうと予想されます。The!脆弱性!

Wormhole側は、資金返還と脆弱性詳細の開示の代償としてハッカーに11億円の賞金を提供する意向を示しており、「お前やったこと犯罪やけど資金返してくれたらホワイトハッカー扱いしたんで」というスタンスを取っており、この辺もPolyNetworkと同じですね。

再び、オンチェーン上の熱いレスバトルが繰り広げられるのでしょうか。

コントラクトバグを狙うハッカーの存在

状況を調べていると、Wormholeのバグ修正がコミットされる間の僅かなスキにハッカーが攻撃してきたようです。この僅かなスキを付いていることから、攻撃者がBridgeのリポジトリを監視し、狙いやすいコミットを探していた可能性があります。恐ろしいですね。

Twitter avatar for @kelvinfichter
smartcontracts @kelvinfichter
It's interesting that this commit was made ~9 hours ago and the exploit happened a few hours after that. Possible that an attacker was keeping an eye on the repository and looking out for suspicious commits.
1:39 AM ∙ Feb 3, 2022
655Likes27Retweets

クロスチェーンではなく、マルチチェーン

界隈ではクロスチェーンではなく、マルチチェーン化を求めているようです。クロスチェーンはEthereumとSolanaのような関係、マルチチェーンはEthereumとLayer2の関係性のことです。

今回の事件の数日前にもVitalikがコメントを出していました。この子はマジでエスパーなのかもしれないですね。

一部要約します。

Twitter avatar for @VitalikButerin
vitalik.eth @VitalikButerin
My argument for why the future will be *multi-chain*, but it will not be *cross-chain*: there are fundamental limits to the security of bridges that hop across multiple "zones of sovereignty". From old.reddit.com/r/ethereum/com…:
Image
Image
5:13 PM ∙ Jan 7, 2022
15,747Likes3,786Retweets
  • マルチチェーンは楽観的に見ているが、クロスチェーンには悲観的

  • Ethereumのネイティブ資産をEthereumで保有したり、Solanaのネイティブ資産をSolanaで保有する方が常に安全であるが、クロスチェーンは盗まれてしまう可能性がある

  • クロスチェーンの活動は、「少ないうちは安全だが、増えれば増えるほどリスクが高まる」という反ネットワーク的な効果を持つため、Cryptoの発展とともにBridgeを攻撃を行う動機はより高くなり危険になっていく

    • 全文読みたい方ははこちら

私がマルチチェーンのブロックチェーンエコシステムに楽観的である一方、クロスチェーンアプリケーションに悲観的である理由は、実はブリッジの基本的なセキュリティの限界にあります(実際には異なる価値を持ついくつかの別々のコミュニティがあり、それらが同じものに対する影響を巡って争うよりも別々に暮らす方が良いのです)。

ブリッジにこうした限界がある理由を理解するには、ブロックチェーンとブリッジのさまざまな組み合わせが51%攻撃をどのように乗り切っているのかを見る必要があります。多くの人は、「ブロックチェーンが51%攻撃を受けたらすべてが壊れるので、51%攻撃を一度も受けないように全力を注ぐ必要がある」というメンタリティを持っています。私はこの考え方のスタイルには本当に反対で、実際、ブロックチェーンは51%の攻撃を受けても多くの保証を維持しますし、この保証を維持することが本当に重要なのです。

例えば、イーサリアムで100ETHを保有していて、イーサリアムが51%攻撃を受け、一部の取引が検閲されたり、元に戻されたりしたとします。何が起こっても、あなたはまだ100ETHを持っています。51%の攻撃者であっても、あなたのETHを奪うブロックを提案することはできません。なぜなら、そのようなブロックはプロトコル規則に違反するため、ネットワークから拒否されるからです。99%のハッシュパワーやステークがあなたのETHを奪おうとしていても、ノードを動かしている全員が残りの1%のチェーンに従うだけで、そのブロックだけがプロトコルルールに従うからです。より一般的には、もしあなたがイーサリアム上にアプリケーションを持っているなら、51%の攻撃はしばらくの間、それを検閲したり元に戻したりすることができますが、最後に出てくるのは一貫性のある状態なのです。もしあなたが100ETHを持っていて、それをUniswapで320000DAIで売った場合、ブロックチェーンが任意のクレイジーな方法で攻撃されたとしても、一日の終わりには、100ETHを維持するか320000DAIを得るか、賢明な結果を得ることができるのです。どちらも得られない(あるいは両方得られる)結果は、プロトコルの規則に違反するため、受け入れられません。

さて、100ETHをSolana上のブリッジに移動して100Solana-WETHを得た後、Ethereumが51%攻撃されたらどうなるかを想像してみましょう。攻撃者は自分のETHを大量にSolana-WETHに預け、Solana側が確認すると同時にEthereum側でその取引を元に戻したのです。Solana-WETHのコントラクトは完全に裏付けされなくなり、おそらくあなたの100Solana-WETHは60ETHの価値しか持たなくなったでしょう。たとえコンセンサスを完全に検証する完璧なZK-SNARKベースのブリッジがあったとしても、このような51%攻撃によって盗まれる可能性がある。

このため、Ethereumのネイティブ資産をSolanaで保有したり、Solanaのネイティブ資産をEthereumで保有するよりも、Ethereumのネイティブ資産をEthereumで保有したり、Solanaのネイティブ資産をSolanaで保有する方が常に安全なのです。そして、ここでいう「イーサリアム」とは、ベースチェーンだけでなく、その上に構築される適切なL2も指します。Ethereumが51%攻撃を受けて復帰した場合、ArbitrumとOptimismも復帰するため、ArbitrumとOptimism上に状態を保持する「クロスロールアップ」アプリケーションは、Ethereumが51%攻撃を受けても一貫性を保つことが保証されています。また、イーサリアムが51%攻撃を受けなければ、アービトラムとオプティミズムを別々に51%攻撃することはできない。したがって、Optimismで発行された資産をArbitrumで包んで持っていても、全く問題ないのです。

この問題は、2チェーン以上になるとさらに深刻になります。チェーンが100個あれば、その間に多くの相互依存関係を持つDappsが存在することになり、51%が1つのチェーンを攻撃するだけでも、そのエコシステム全体の経済を脅かすシステム的な伝染が発生することになるのです。そのため、相互依存性のあるゾーンは、主権のあるゾーンと密接に連携する可能性が高いと思います(つまり、イーサリアムユニバースのアプリケーションが多く互いに密接に連携し、アバックスユニバースのアプリケーションが多く互いに連携するなどですが、イーサリアムユニバースとアバックスユニバースが互いに密接に連携するわけではありません)。

ちなみに、ロールアップが「別のデータレイヤーを使ってこい」というわけにはいかないのも、このためです。もしロールアップがCelestiaやBCHなどにデータを保存していても、Ethereum上の資産を扱っている場合、そのレイヤーが51%攻撃されたらおしまいです。セレスティア上のDASが51%の攻撃耐性を提供しても、イーサリアムのネットワークがそのDASを読んでいるわけではなく、51%の攻撃に対して脆弱なブリッジを読んでいることになるので、実際には役に立ちません。Ethereumネイティブアセットを使用するアプリケーションにセキュリティを提供するロールアップであるためには、Ethereumデータレイヤーを使用しなければなりません(他のエコシステムも同様です)。

こうした問題がすぐに出てくるとは思っていません。1つのチェーンでも51%攻撃するのは難しいし、コストもかかる。しかし、クロスチェーンブリッジやアプリの利用が増えれば増えるほど、問題は深刻になる。100個のSolana-WETHを盗むためだけにイーサリアムを51%攻撃する人はいないでしょう(それどころか、100個のEthereum-WSOLを盗むためだけにSolanaを51%攻撃する人もいます)。しかし、ブリッジに1000万ETHまたはSOLがあれば、攻撃を行う動機はより高くなり、大規模なプールは攻撃を実現するために協調することも十分にあり得ます。つまり、クロスチェーンの活動は、「少ないうちは安全だが、増えれば増えるほどリスクが高まる」という反ネットワーク的な効果を持つのです。

本日は以上です。

度々、クロスチェーン系Bridgeの流出事件が取り沙汰されますが、こういったニュースはマルチチェーンが普及するまでは定期的に発生することが予想されます。マルチチェーン化が待たれるとはいえ、インフラが整ってくるまではまだまだかかります。

将来的にすべてがマルチチェーン化していくというわけでもなく、大きなマルチチェーン経済圏の中で部分的にクロスチェーンが生き残っていくような気もするのでどちらが絶対的に正しいという話ではないのですが、Cryptoが発展すればするほどにリスクが大きくなるクロスチェーンの危険さは認識した上でCryptoを触ってもらえればと思って書きました。

お読みいただきありがとうございました。

関連トピック

詐欺・GOX系

[Daily Topics]詐欺やGOX, ハッキング被害であふれかえるNFT市場を救いたい

[Daily Topics]Next Axie詐欺に引っかからないために気をつけたい失敗事例 〜こうして私は騙された〜

[Daily Topics]Crypto長者の拉致監禁・殺人未遂事件が発生界隈に激震が走る

[Daily Topics]SBIが定期的にXRP PumpをさせてくるScam行為は市場価格操作なのか

[Daily Topics]クロスチェーンPFのPoly Network, DeFi史上最大670億円のハッキング被害に、レスバトルの末無事奪還

規制

[Daily Topics]規制検討が進むDeFi領域、共通理解の醸成と各ステークホルダーが協力し合う文化と環境を作れるか

[Daily Topics]Opensea内部者NFT購入問題で露見する暗号資産取引におけるインサイダー問題について

[Daily Topics]そのNFT販売「ちょっとまって」、販売前の法律違反の確認はこれを見よう

[Daily Topics]米国の独禁法施行によってApp30%手数料問題に緩和の流れ、Crypto決済に光は当たるのか?

Discordでコミュニティ開きました

招待リンクはこちら(リンク切れしてたら教えてください)

■メルマガコミュニティに参加する特典

  • 過去メルマガの検索、閲覧し放題です。こちらから⇒Daily Topics

  • のぶめい企画を一緒に考えよう、提案は大歓迎

  • メルマガに書ききれないCrypto関連のNews Feedを流します

  • 執筆中の本の途中経過を公開します⇒[Daily Topics]のぶめいは本を書く

NFT紹介枠

NFT紹介枠を設置しています。頂いたNFTを優先で紹介していきつつ、都度流行りのNFTなども取り上げていきたいと思います。

今週はSaiさんの作品、クリプトヘルメッツです。

はるか先生が書かれている週間NFTニュースでも毎週漫画を書かれているSaiさん、最近はテーマソングを作曲されていて多才な方です。絶対に変な人だと思います。(褒めてる)

Opensea:https://opensea.io/collection/another-helmets-collection

紹介記事:https://www.virtual-saisai.com/opensea-cryptohelmets

●4コマで動くNFTキャラクター ●時事ネタでも活躍中●オーナーさんをモチーフにした4コマが描かれるかも

とのことです。これは楽しみですね。(期待)

Twitter avatar for @saisei_to_hakai
Sai|さい【NFT/ART】 @saisei_to_hakai
📢【週間NFTニュース】テーマソングが完成しました!! 聴いてもらえるとうれしいです!! フルはYou Tubeにて!⇩ youtu.be/B4pAyGEuyYc 週間NFTニュース Theme song『Yellow』 - Satori feat.Sai #NFT #NFTCommunity
9:57 AM ∙ Dec 23, 2021
111Likes14Retweets

■ NFT紹介枠は常に募集しています

NFT紹介枠をやってます。来週の枠も空いているのでここに載せてほしい方は以下リンクからご連絡ください。

NFT紹介枠の募集要項

過去掲載したNFT紹介枠のアーカイブ はこちらです。

今日のネタ枠

<aside> 💡 真面目な話ばかりでもつまらないので息抜きにネタ枠を用意しています。

</aside>

岡部さんが髪切ってました。なんとなくですがネタ枠です。

Twitter avatar for @noritaka_okabe
JPYC(株)代表取締役 岡部典孝 @noritaka_okabe
髪切った!
Image
3:28 AM ∙ Feb 2, 2022
423Likes12Retweets

ご連絡

電子マグロオークションは80万円で落札されました!!!

年始のマグロの初競りにあやかって、電子マグロNFTオークションを実施したのですが、最終落札価格が80万円で落札されました。初競りマグロが1,688万円だったので、惜しくも1,600万円足りずということで来年再チャレンジしたいと思います!

メタバース上で販売された初競りの電子マグロNFT、3000Maticで落札される(80万円相当)|銀座渡利のプレスリリース

メタバースで電子マグロ初競りオークションイベントを開催

Gitcoin Grant出してます

のぶめいはGitcoin Grantに2つプロジェクトを提出しています。

■ のぶめいのメルマガのGrant https://gitcoin.co/grants/3422/nobumei-newsletter

■ 広告枠のマーケットGrant https://gitcoin.co/grants/3614/kaleido-decentralized-ad

のぶめいラジオ始めました

このメルマガの内容を解説するラジオを始めました。テキストよりラジオのほうが情報に接しやすい方もいらっしゃるでしょう、ということでメルマガの内容をのぶがめいに説明する形でやっています。stand.fmってアプリでやってましたが、サービスがWeb2すぎるのでPodcastに変更しました。模索中です。

stand.fm:https://stand.fm/channels/616990bdafa93b18fc46b1cd

Podcast:https://anchor.fm/nobumei/episodes/2021NFT-e1c611j

Youtubeを見て音をスマホに聴かせればNFTを受け取れます

このYoutubeを見ればNFTを受け取れるよ!!

受け取り方:音響透かしNFTの受け取り方

寿司職⼈の技術をNFT化した「SUSHI TOP SHOT」 音を使って配布|銀座渡利のプレスリリース

先日、開催された音でNFTを配信する斬新な企画を汎用的なソリューションとすべく銀座渡利さんで企画・開発スタッフを募集しています。音でNFTを送ることができるのでYoutubeやライブなどの視聴行動を変えることなくユーザーのWalletに自然にNFTを配布することができます。

音声透かしNFTの仕組みや可能性については以前にも紹介しているのでこちらを見ていただき、興味のある方はTwitter DMにてご連絡ください。

[Daily Topics]音声透かし × トークンの活用方法

[Daily Topics]SUSHI TOP SHOT, 音で寿司を届けるイベントの新しさを解説

相互リンク枠

■はるか先生の週間NFTニュース

@はるか先生が書いているこちらを読んでおけばNFT関連ニュースはカバーできるのでオススメ

最新の週はこちら:

過去アーカイブ含めた一覧はこちら:https://nftnews.jp/weekly-nft-news-list/

今日のニュース

dApps / NFT

Loot×Play-to-Earnを実現する野心的なLootverseプロジェクト「The Crypt」について解説 | イーサリアムnavi

LootとNounsに関してのてんちょーは神がかってる。

ジャスティンビーバーBAYCを購入⚡500ETH(約1.5億円)、BAYC史上7番目の高額取引

ジャスティン・ビーバーがBAYC買っとった。それにしても、

Twitter avatar for @NftPinuts
miin | NFT情報コレクター @NftPinuts
ジャスティンビーバー BAYCを購入 ⚡500ETH(約1.5億円)、BAYC史上7番目の高額取引 ⚡販売側は21年5月に0.24ETHで購入 ⚡ジャスティンビーバーのwalletの中にはDoodles、CloneX、World of Womenなど高級NFTが確認できる theboredapegazette.com/?cid=948b73f8-…
Image
7:22 AM ∙ Jan 30, 2022
606Likes94Retweets

メタマスクでリボークする方法|仮想通貨の詐欺対策に効果的

metamaskのセキュリティ設定を見直して防御力高めましょうね

Metaverse

【The Sandbox】メタバース企業支援に57億円相当の投資プログラムを発表 - ZENISM

Snadboxつよ。

DeFi

State of Compound: Q4 2021

コインチェックとThe Sandbox、メタバース上で都市開発を開始 |コインチェック株式会社

MessariがCompのQ4の結果をまとめていました。

Stablecoin / CBDC

大手企業74社が参画 ステーブルコインDCJPYで円がデジタル化、何が変わる?(要約) - ITmedia ビジネスオンライン

パブリックのネットワーク効果に勝てるほど大企業が強い影響力をもたせられるのか。

その他

国産「Web3」スタートアップのAstar Network、Polychainキャピタルリードで2,200万ドル(25億円)を調達ーー本田圭佑氏ら出資 | BRIDGE(ブリッジ)テクノロジー&スタートアップ情報

Astarはマジですごいですね。応援しています。

「Polychain Capital」とは?クリプトVC徹底解説記事③

Polychainに関しての記事です。VC単体に対する記事は多くないので参考になりました。ちなみに、メイントピックで出てきたPolyNetworkはBridgeでPolychainはVCです。

はい、本日は以上になります。

ここまで読んだら「いいね」押してくれてもいいと思う

Substackにはいいねとコメントの機能があるので、お手すきの際にお願いします!反応があるとシンプルにやる気が出ます。勉強中の友達に紹介してくれたりとかするととても嬉しいです。

また、匿名で質問とコメントが書けるページをそれぞれ用意したので、メルマガで書いて欲しいネタや疑問点があれば投げてみてください。コミュニティで聞いてくれてもいいよ!

メルマガコミュニティはこちら

よろしくおねがいします!^^

Share this post
クロスチェーンBridgeのWormholeがハッキング被害、370億円が流出
nobumei.substack.com
Comments
TopNewCommunity

No posts

Ready for more?

© 2023 nobumei
Market data by Intrinio
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great writing