仮想通貨業界にとって今年は激動の年でした。市場価格は大幅に下落し、仮想通貨大手は破綻し、仮想通貨の不正利用やハッキングで数十億ドルが盗まれました。
Chainalysisが2022年を「ハッキング活動史上最大の年」と宣言したのは、10月も半ばにも満たなかった。
12月29日現在、2022年の10大エクスプロイトにより、暗号プロトコルから21億ドルが盗まれました。以下は、それらのエクスプロイトとハッキングを、規模の小さいものから大きいものの順にランク付けしたものです。
10: Beanstalk Farmsのエクスプロイト — 7,600万ドル
ステーブルコインプロトコルBeanstalk Farmsは4月18日、フラッシュローンを利用してガバナンストークンを購入した攻撃者から7,600万ドルの不正アクセスを受けた。これは、悪意のあるスマートコントラクトを挿入する2つの提案を可決するために使用された。
この攻撃により、Beanstalk は担保をすべて失ったため、当初は約 1 億 8,200 万ドルの損害が発生したと考えられていましたが、最終的に攻撃者はその半分以下しか持ち逃げできませんでした。
9: Qubit Finance ブリッジエクスプロイト — 8,000万ドル
BNBスマートチェーン上の分散型金融(DeFi)プロトコルであるQubit Financeは、1月28日にブリッジエクスプロイトにより8000万ドル相当以上のBNB(BNB)が盗まれた。
攻撃者はプロトコルのスマートコントラクトを騙し、ブリッジされたイーサ(ETH)を表す資産を発行できる担保を預けたと信じ込ませた。
彼らはこれを何度も繰り返し、裏付けのないブリッジETHに対して複数の暗号通貨を借り入れ、プロトコルの資金を枯渇させました。
8: Rari Fuse エクスプロイト — 7,930 万ドル
Rari Capitalと呼ばれる別のDeFiプロトコルが4月30日に悪用され、総額約7,930万ドルが盗まれた。
攻撃者は、プロトコルの Rar Fuse 流動性プールのスマート コントラクトの再入脆弱性を悪用し、悪意のあるコントラクトに関数を呼び出して、プールからすべての暗号通貨を排出させました。
9月、Rari Capitalやその他のDeFiプロトコルを含むTribe DAOは、ハッキングの影響を受けたユーザーに補償することを決議した。
7: ハーモニー橋ハッキング — 1億ドル
また別のブリッジハッキングでは、イーサリアム、ビットコイン(BTC)、BNBチェーンをハーモニーのレイヤー1ブロックチェーンにリンクするホライゾンブリッジから、複数の暗号通貨で約1億ドルが流出した。
ブロックチェーンフォレンジック企業エリプティックは、このハッキングは北朝鮮のサイバー犯罪組織ラザルス・グループによるものだと断定した。資金洗浄は他の既知のラザルス攻撃と同様の方法で行われたためだ。
ラザルスはハーモニーの従業員のログイン認証情報を標的とし、プラットフォームのセキュリティシステムに侵入してプロトコルの制御権を獲得した後、自動ロンダリングプログラムを展開して不正に得た利益を移動させたとみられる。
6: BNBチェーンブリッジのエクスプロイト — 1億ドル
BNBチェーンは、ネットワーク上の「不規則な活動」のため10月6日に一時停止されました。これは後に、クロスチェーンブリッジであるBSCトークンハブから約1億ドルを流出させたエクスプロイトであったことが明らかになりました。
当初、攻撃者は、チェーンのネイティブトークンである約200万BNBの作成を可能にする脆弱性により、約6億ドルを奪うことができたと考えられていました。
攻撃者にとって残念なことに、ブロックチェーン上で凍結されたデジタル資産はおよそ 4 億ドル以上で、BNB ブロックチェーン側のクロスチェーン ブリッジにはさらに多くの資産が残っている可能性があります。
5: ウィンターミュートハック — 1億6000万ドル
英国を拠点とする暗号通貨マーケットメーカーのウィンターミュートは、ホットウォレットの侵害により、70のトークンで約1億6000万ドルがウォレットから流出する被害に遭った。
ブロックチェーンサイバーセキュリティ企業CertiKの分析によると、脆弱な秘密鍵が攻撃を受けたが、これはおそらくProfanityによって生成されたものだという。Profanityは、ユーザーが仮想通貨アドレスを生成できるアプリだが、このアプリの脆弱性は知られている。
CertiK によれば、これにより攻撃者は秘密鍵を使った関数を使用して、プラットフォームのスワップ契約をハッカー自身のものに変更することができたという。
ハッキングの実行方法から「内部犯行」だという陰謀説は、ブロックチェーンセキュリティ企業ブロックセックによって否定され、同社はその主張は「説得力が足りない」と述べた。
4: Nomad トークン ブリッジ エクスプロイト — 190M
8月2日、ユーザーが複数のブロックチェーン間で暗号通貨を交換できるようにするNomadトークンブリッジが、複数の攻撃者によって1億9000万ドルが流出した。
トランザクション入力を適切に検証できなかったスマート コントラクトの脆弱性が、この攻撃の原因でした。
悪意と善意の両方があると思われる複数のユーザーが、元の攻撃者の動きを模倣して資金を自分たちに流し込むことに成功した。報告書では、この攻撃に参加したアドレスの約 88% が「模倣者」であると特定された。
ホワイトハットハッカーによって傍受され、プロトコルに返還された資金は約 3,260 万ドルに過ぎませんでした。
3: ワームホールブリッジエクスプロイト — 3億2,100万ドル
ワームホールトークンブリッジは2月2日に攻撃を受け、3億2,100万ドル相当の12万個のWrapped Ether(wETH)トークンが失われた。
ワームホールは、ユーザーが複数のブロックチェーン間で暗号資産を送受信することを可能にします。攻撃者はプロトコルのスマート コントラクトに脆弱性を発見し、担保なしで Solana (SOL) で 120,000 wETH を発行し、それを ETH と交換することができました。
当時、これは2022年最大のエクスプロイトとしてマークされ、今年全体では3番目に大きなプロトコル損失となりました。
2: FTXウォレットハッキング — 4億7,700万ドル
11月11日と12日にFTXの破産手続きが始まった際、同取引所では一連の不正取引が行われ、エリプティックは約4億7700万ドル相当の仮想通貨が盗まれたと示唆した。
サム・バンクマン・フリード氏は11月16日のインタビューで、犯人は「元従業員か、どこかの誰かが元従業員のコンピューターにマルウェアをインストールした」と考えており、同社システムから締め出される前に犯人を8人に絞り込んだと語った。
報道によると、12月27日、米国司法省は行方不明の仮想通貨約3億7200万ドルの所在に関する捜査を開始した。
1: Ronin ブリッジハッキング — 6億1,200万ドル
2022年に発生した最大のエクスプロイトは3月23日に発生し、Roninブリッジが約6億1,200万ドル(173,600 ETHと2,550万USDコイン(USDC))を盗み出しました。
Ronin は、プレイして稼ぐ非代替性トークン (NFT) ゲームである Axie Infinity 用に構築されたイーサリアム サイドチェーンです。Axie Infinity の開発者である Sky Mavis 氏は、ハッカーが秘密鍵にアクセスし、検証ノードを侵害し、ブリッジから資金を流出させるトランザクションを承認したと述べています。
米財務省は、ラザルス・グループがブリッジの不正利用の背後にいた可能性を反映して、4月14日に特別指定国民および資産凍結者(SDN)リストを更新した。
Ronin ブリッジのハッキングは、これまでに発生した暗号通貨の不正利用としては最大規模です。
