クロスチェーンBridgeのWormholeがハッキング被害、370億円が流出
#174 2022_0203のMainTopics
#174 Substack
赤ちゃんの世話で時間が取られるのでメルマガ頻度が落ちそうです(言い訳)
前回記事:[Daily Topics]Web3.0ビジネスモデル6選
解説ラジオ:ラジオで聞くならこちら(回は違うよ)
English ver:英語訳してくれていた方が電通に転職されてしまったのでHelpfulです
This newsletter is now being translated into English on the same day. I'm really grateful for the instant translation !
→毎回、これ書いていたら英訳してくれる方が現れました!奇跡!
本日のメイントピック
Wormhole, ハッキングにより120k WETH流出被害、日本円で240億円
クロスチェーンBridgeであるWormholeがハッキング被害にあい、240億円相当の流出事件を起こしてしまいました。
クロスチェーンのやらかしに対しての個人的ん気持ちはこんな感じです。まぁ、Wormholeは四天王の中でも結構強い印象があったのですが、やられるときはやられちゃうんですね。
今日はブロックチェーンの相互運用性を高めるBridgeの重要性とそこに内在されるリスクについて書いていきます。
Bridgeとはなんだ?という方はてんちょーが書いている記事をご一読されることをオススメします。
では本編です。
Wormholeとは
WormholeはSolanaとBSC・Terra・Ethereumブロックチェーン間をブリッジする、クロスチェーンのメッセージングプロトコルです。「ガーディアン」と呼ばれる19人の独立したノードバリデータがメッセージの検証を担います。
海外取引所のFTXが扱っているERC20系のトークンをFTXの媒介なしにSolana上に送金することができ、Solana上の流動性増加に貢献していた主なプロトコルでした。
Wormholeの存在によってSolanaと他のチェーンとの相互運用性が高まり使いやすくなっていました。相互運用性についてはこちらで解説しています。
参考:[Daily Topics]ブロックチェーンの相互運用性を解決するPolkadotとCOSMOSをざっくり理解する
Ethereum上で持っている暗号通貨を他のチェーンに持っていくことを考えた時に、手数料は安く、流動性は高い方がユーザー体験は良いものになります。Wormholeはそういう意味でBridgeとしてBridgeの第一候補に上がってくるプロダクトでした。
こちらは、手数料や流動性から見たサードパーティブリッジ比較一覧です。緑色の網掛けしてあるところがWormholeなので、Solanaへの流入流出ではメインに使われていたことがわかると思います。
https://docs.google.com/spreadsheets/d/1jYZOfU2R3PdzRmnY9Nfc4pzerX_YSInNdyhtSj_3oWY/edit#gid=0
今回発生した被害は370億円
Wormholeでは、あるチェーンから別のチェーンに資産をブリッジさせるときに、出発チェーンでの資産をロックし、到着チェーン上でWrappedしたAssetを新規発行する「ところてん方式」を採用していました。 $ETH がロックされて $WETH が新規発行されると言った感じです。
詳細情報はまだ出揃っていないので確定ではないですが、これは昨年680億円流出したPolyNetworkと同じ被害かなと思います。
参考:[Daily Topics]クロスチェーンPFのPoly Network, DeFi史上最大670億円のハッキング被害に、レスバトルの末無事奪還
ハッカーはこのブリッジ機能のバグを悪用してソラナ上で担保$ETHを必要とせずに8万ETHを新規にSolana上に発行しました。現在の円環残で380億円分の価値が無担保に発行されたので、Solana上のETHの価値が希釈されました。
これだけの「価値」が突然Solana上で発生したため、Solana上で稼働しているDeFiにも影響が及んでいる様子です。
こちらはWormholeではなく、Muitichainという別のBridgeプロトコルですが、MultichainがBridgeした先のチェーン上で稼働するdAppsを可視化したカオスマップです。Muitichain上にRockされている資産はWormholeよりも多いのでPolyNetworkの過去最高の流出金額を超えてくるだろうと予想されます。The!脆弱性!
Wormhole側は、資金返還と脆弱性詳細の開示の代償としてハッカーに11億円の賞金を提供する意向を示しており、「お前やったこと犯罪やけど資金返してくれたらホワイトハッカー扱いしたんで」というスタンスを取っており、この辺もPolyNetworkと同じですね。
再び、オンチェーン上の熱いレスバトルが繰り広げられるのでしょうか。
コントラクトバグを狙うハッカーの存在
状況を調べていると、Wormholeのバグ修正がコミットされる間の僅かなスキにハッカーが攻撃してきたようです。この僅かなスキを付いていることから、攻撃者がBridgeのリポジトリを監視し、狙いやすいコミットを探していた可能性があります。恐ろしいですね。
クロスチェーンではなく、マルチチェーン
界隈ではクロスチェーンではなく、マルチチェーン化を求めているようです。クロスチェーンはEthereumとSolanaのような関係、マルチチェーンはEthereumとLayer2の関係性のことです。
今回の事件の数日前にもVitalikがコメントを出していました。この子はマジでエスパーなのかもしれないですね。
一部要約します。
マルチチェーンは楽観的に見ているが、クロスチェーンには悲観的
Ethereumのネイティブ資産をEthereumで保有したり、Solanaのネイティブ資産をSolanaで保有する方が常に安全であるが、クロスチェーンは盗まれてしまう可能性がある
クロスチェーンの活動は、「少ないうちは安全だが、増えれば増えるほどリスクが高まる」という反ネットワーク的な効果を持つため、Cryptoの発展とともにBridgeを攻撃を行う動機はより高くなり危険になっていく
全文読みたい方ははこちら
私がマルチチェーンのブロックチェーンエコシステムに楽観的である一方、クロスチェーンアプリケーションに悲観的である理由は、実はブリッジの基本的なセキュリティの限界にあります(実際には異なる価値を持ついくつかの別々のコミュニティがあり、それらが同じものに対する影響を巡って争うよりも別々に暮らす方が良いのです)。
ブリッジにこうした限界がある理由を理解するには、ブロックチェーンとブリッジのさまざまな組み合わせが51%攻撃をどのように乗り切っているのかを見る必要があります。多くの人は、「ブロックチェーンが51%攻撃を受けたらすべてが壊れるので、51%攻撃を一度も受けないように全力を注ぐ必要がある」というメンタリティを持っています。私はこの考え方のスタイルには本当に反対で、実際、ブロックチェーンは51%の攻撃を受けても多くの保証を維持しますし、この保証を維持することが本当に重要なのです。
例えば、イーサリアムで100ETHを保有していて、イーサリアムが51%攻撃を受け、一部の取引が検閲されたり、元に戻されたりしたとします。何が起こっても、あなたはまだ100ETHを持っています。51%の攻撃者であっても、あなたのETHを奪うブロックを提案することはできません。なぜなら、そのようなブロックはプロトコル規則に違反するため、ネットワークから拒否されるからです。99%のハッシュパワーやステークがあなたのETHを奪おうとしていても、ノードを動かしている全員が残りの1%のチェーンに従うだけで、そのブロックだけがプロトコルルールに従うからです。より一般的には、もしあなたがイーサリアム上にアプリケーションを持っているなら、51%の攻撃はしばらくの間、それを検閲したり元に戻したりすることができますが、最後に出てくるのは一貫性のある状態なのです。もしあなたが100ETHを持っていて、それをUniswapで320000DAIで売った場合、ブロックチェーンが任意のクレイジーな方法で攻撃されたとしても、一日の終わりには、100ETHを維持するか320000DAIを得るか、賢明な結果を得ることができるのです。どちらも得られない(あるいは両方得られる)結果は、プロトコルの規則に違反するため、受け入れられません。
さて、100ETHをSolana上のブリッジに移動して100Solana-WETHを得た後、Ethereumが51%攻撃されたらどうなるかを想像してみましょう。攻撃者は自分のETHを大量にSolana-WETHに預け、Solana側が確認すると同時にEthereum側でその取引を元に戻したのです。Solana-WETHのコントラクトは完全に裏付けされなくなり、おそらくあなたの100Solana-WETHは60ETHの価値しか持たなくなったでしょう。たとえコンセンサスを完全に検証する完璧なZK-SNARKベースのブリッジがあったとしても、このような51%攻撃によって盗まれる可能性がある。
このため、Ethereumのネイティブ資産をSolanaで保有したり、Solanaのネイティブ資産をEthereumで保有するよりも、Ethereumのネイティブ資産をEthereumで保有したり、Solanaのネイティブ資産をSolanaで保有する方が常に安全なのです。そして、ここでいう「イーサリアム」とは、ベースチェーンだけでなく、その上に構築される適切なL2も指します。Ethereumが51%攻撃を受けて復帰した場合、ArbitrumとOptimismも復帰するため、ArbitrumとOptimism上に状態を保持する「クロスロールアップ」アプリケーションは、Ethereumが51%攻撃を受けても一貫性を保つことが保証されています。また、イーサリアムが51%攻撃を受けなければ、アービトラムとオプティミズムを別々に51%攻撃することはできない。したがって、Optimismで発行された資産をArbitrumで包んで持っていても、全く問題ないのです。
この問題は、2チェーン以上になるとさらに深刻になります。チェーンが100個あれば、その間に多くの相互依存関係を持つDappsが存在することになり、51%が1つのチェーンを攻撃するだけでも、そのエコシステム全体の経済を脅かすシステム的な伝染が発生することになるのです。そのため、相互依存性のあるゾーンは、主権のあるゾーンと密接に連携する可能性が高いと思います(つまり、イーサリアムユニバースのアプリケーションが多く互いに密接に連携し、アバックスユニバースのアプリケーションが多く互いに連携するなどですが、イーサリアムユニバースとアバックスユニバースが互いに密接に連携するわけではありません)。
ちなみに、ロールアップが「別のデータレイヤーを使ってこい」というわけにはいかないのも、このためです。もしロールアップがCelestiaやBCHなどにデータを保存していても、Ethereum上の資産を扱っている場合、そのレイヤーが51%攻撃されたらおしまいです。セレスティア上のDASが51%の攻撃耐性を提供しても、イーサリアムのネットワークがそのDASを読んでいるわけではなく、51%の攻撃に対して脆弱なブリッジを読んでいることになるので、実際には役に立ちません。Ethereumネイティブアセットを使用するアプリケーションにセキュリティを提供するロールアップであるためには、Ethereumデータレイヤーを使用しなければなりません(他のエコシステムも同様です)。
こうした問題がすぐに出てくるとは思っていません。1つのチェーンでも51%攻撃するのは難しいし、コストもかかる。しかし、クロスチェーンブリッジやアプリの利用が増えれば増えるほど、問題は深刻になる。100個のSolana-WETHを盗むためだけにイーサリアムを51%攻撃する人はいないでしょう(それどころか、100個のEthereum-WSOLを盗むためだけにSolanaを51%攻撃する人もいます)。しかし、ブリッジに1000万ETHまたはSOLがあれば、攻撃を行う動機はより高くなり、大規模なプールは攻撃を実現するために協調することも十分にあり得ます。つまり、クロスチェーンの活動は、「少ないうちは安全だが、増えれば増えるほどリスクが高まる」という反ネットワーク的な効果を持つのです。
本日は以上です。
度々、クロスチェーン系Bridgeの流出事件が取り沙汰されますが、こういったニュースはマルチチェーンが普及するまでは定期的に発生することが予想されます。マルチチェーン化が待たれるとはいえ、インフラが整ってくるまではまだまだかかります。
将来的にすべてがマルチチェーン化していくというわけでもなく、大きなマルチチェーン経済圏の中で部分的にクロスチェーンが生き残っていくような気もするのでどちらが絶対的に正しいという話ではないのですが、Cryptoが発展すればするほどにリスクが大きくなるクロスチェーンの危険さは認識した上でCryptoを触ってもらえればと思って書きました。
お読みいただきありがとうございました。
関連トピック
詐欺・GOX系
[Daily Topics]詐欺やGOX, ハッキング被害であふれかえるNFT市場を救いたい
[Daily Topics]Next Axie詐欺に引っかからないために気をつけたい失敗事例 〜こうして私は騙された〜
[Daily Topics]Crypto長者の拉致監禁・殺人未遂事件が発生界隈に激震が走る
[Daily Topics]SBIが定期的にXRP PumpをさせてくるScam行為は市場価格操作なのか
[Daily Topics]クロスチェーンPFのPoly Network, DeFi史上最大670億円のハッキング被害に、レスバトルの末無事奪還
規制
[Daily Topics]規制検討が進むDeFi領域、共通理解の醸成と各ステークホルダーが協力し合う文化と環境を作れるか
[Daily Topics]Opensea内部者NFT購入問題で露見する暗号資産取引におけるインサイダー問題について
[Daily Topics]そのNFT販売「ちょっとまって」、販売前の法律違反の確認はこれを見よう
[Daily Topics]米国の独禁法施行によってApp30%手数料問題に緩和の流れ、Crypto決済に光は当たるのか?
Discordでコミュニティ開きました
招待リンクはこちら(リンク切れしてたら教えてください)
■メルマガコミュニティに参加する特典
過去メルマガの検索、閲覧し放題です。こちらから⇒Daily Topics
のぶめい企画を一緒に考えよう、提案は大歓迎
メルマガに書ききれないCrypto関連のNews Feedを流します
執筆中の本の途中経過を公開します⇒[Daily Topics]のぶめいは本を書く
NFT紹介枠
NFT紹介枠を設置しています。頂いたNFTを優先で紹介していきつつ、都度流行りのNFTなども取り上げていきたいと思います。
今週はSaiさんの作品、クリプトヘルメッツです。
はるか先生が書かれている週間NFTニュースでも毎週漫画を書かれているSaiさん、最近はテーマソングを作曲されていて多才な方です。絶対に変な人だと思います。(褒めてる)
Opensea:https://opensea.io/collection/another-helmets-collection
紹介記事:https://www.virtual-saisai.com/opensea-cryptohelmets
●4コマで動くNFTキャラクター ●時事ネタでも活躍中●オーナーさんをモチーフにした4コマが描かれるかも
とのことです。これは楽しみですね。(期待)
■ NFT紹介枠は常に募集しています
NFT紹介枠をやってます。来週の枠も空いているのでここに載せてほしい方は以下リンクからご連絡ください。
過去掲載したNFT紹介枠のアーカイブ はこちらです。
今日のネタ枠
<aside> 💡 真面目な話ばかりでもつまらないので息抜きにネタ枠を用意しています。
</aside>
岡部さんが髪切ってました。なんとなくですがネタ枠です。
ご連絡
電子マグロオークションは80万円で落札されました!!!
年始のマグロの初競りにあやかって、電子マグロNFTオークションを実施したのですが、最終落札価格が80万円で落札されました。初競りマグロが1,688万円だったので、惜しくも1,600万円足りずということで来年再チャレンジしたいと思います!
メタバース上で販売された初競りの電子マグロNFT、3000Maticで落札される(80万円相当)|銀座渡利のプレスリリース
Gitcoin Grant出してます
のぶめいはGitcoin Grantに2つプロジェクトを提出しています。
■ のぶめいのメルマガのGrant https://gitcoin.co/grants/3422/nobumei-newsletter
■ 広告枠のマーケットGrant https://gitcoin.co/grants/3614/kaleido-decentralized-ad
のぶめいラジオ始めました
このメルマガの内容を解説するラジオを始めました。テキストよりラジオのほうが情報に接しやすい方もいらっしゃるでしょう、ということでメルマガの内容をのぶがめいに説明する形でやっています。stand.fmってアプリでやってましたが、サービスがWeb2すぎるのでPodcastに変更しました。模索中です。
stand.fm:https://stand.fm/channels/616990bdafa93b18fc46b1cd
Podcast:https://anchor.fm/nobumei/episodes/2021NFT-e1c611j
Youtubeを見て音をスマホに聴かせればNFTを受け取れます
このYoutubeを見ればNFTを受け取れるよ!!
受け取り方:音響透かしNFTの受け取り方
寿司職⼈の技術をNFT化した「SUSHI TOP SHOT」 音を使って配布|銀座渡利のプレスリリース
先日、開催された音でNFTを配信する斬新な企画を汎用的なソリューションとすべく銀座渡利さんで企画・開発スタッフを募集しています。音でNFTを送ることができるのでYoutubeやライブなどの視聴行動を変えることなくユーザーのWalletに自然にNFTを配布することができます。
音声透かしNFTの仕組みや可能性については以前にも紹介しているのでこちらを見ていただき、興味のある方はTwitter DMにてご連絡ください。
[Daily Topics]音声透かし × トークンの活用方法
[Daily Topics]SUSHI TOP SHOT, 音で寿司を届けるイベントの新しさを解説
相互リンク枠
■はるか先生の週間NFTニュース
@はるか先生が書いているこちらを読んでおけばNFT関連ニュースはカバーできるのでオススメ
最新の週はこちら:
過去アーカイブ含めた一覧はこちら:https://nftnews.jp/weekly-nft-news-list/
今日のニュース
dApps / NFT
Loot×Play-to-Earnを実現する野心的なLootverseプロジェクト「The Crypt」について解説 | イーサリアムnavi
LootとNounsに関してのてんちょーは神がかってる。
ジャスティンビーバーBAYCを購入⚡500ETH(約1.5億円)、BAYC史上7番目の高額取引
ジャスティン・ビーバーがBAYC買っとった。それにしても、
metamaskのセキュリティ設定を見直して防御力高めましょうね
Metaverse
【The Sandbox】メタバース企業支援に57億円相当の投資プログラムを発表 - ZENISM
Snadboxつよ。
DeFi
コインチェックとThe Sandbox、メタバース上で都市開発を開始 |コインチェック株式会社
MessariがCompのQ4の結果をまとめていました。
Stablecoin / CBDC
大手企業74社が参画 ステーブルコインDCJPYで円がデジタル化、何が変わる?(要約) - ITmedia ビジネスオンライン
パブリックのネットワーク効果に勝てるほど大企業が強い影響力をもたせられるのか。
その他
Astarはマジですごいですね。応援しています。
「Polychain Capital」とは?クリプトVC徹底解説記事③
Polychainに関しての記事です。VC単体に対する記事は多くないので参考になりました。ちなみに、メイントピックで出てきたPolyNetworkはBridgeでPolychainはVCです。
はい、本日は以上になります。
ここまで読んだら「いいね」押してくれてもいいと思う
Substackにはいいねとコメントの機能があるので、お手すきの際にお願いします!反応があるとシンプルにやる気が出ます。勉強中の友達に紹介してくれたりとかするととても嬉しいです。
また、匿名で質問とコメントが書けるページをそれぞれ用意したので、メルマガで書いて欲しいネタや疑問点があれば投げてみてください。コミュニティで聞いてくれてもいいよ!
メルマガコミュニティはこちら
よろしくおねがいします!^^