攻撃者がPoly Networkから1,000万ドル相当の暗号資産を流出させる — 何が起きたのか

攻撃の概要

セキュリティ企業Beosinの詳細分析によれば、高度な技術を持つハッカーがPoly Networkインフラを巧妙に悪用し、約1,000万ドル相当のETHを流出させました。この事件は分散型金融（DeFi）エコシステムにおける重大なセキュリティ侵害です。

Poly Networkは、異なるブロックチェーンネットワーク間で資産をシームレスに移転できるクロスチェーンブリッジとして運営されており、7月初旬の公式発表でDeFi攻撃の被害に遭ったことを明らかにしました。今回の攻撃では、ハッカーが複数のブロックチェーンネットワーク上で合計340億ドル相当の暗号資産トークンを新規発行できる事態となりました。

セキュリティ侵害を受けて、Poly Networkのチームは発覚直後に全サービスを一時停止しました。この予防措置は、さらなる悪用防止とユーザー資産の保護を目的としたものです。

DeFiネットワークの技術チームは、攻撃者が10種類のブロックチェーンネットワーク上で57種類のトークンを新規発行できたと公表しました。影響を受けたブロックチェーンにはEthereum、Metis、Polygon、Avalanche、Hecoなどが含まれています。このマルチチェーンでの悪用は、攻撃の高度さとクロスチェーンブリッジプロトコルの脆弱性を示しています。

初期の侵害後、ハッカーのウォレットには420億ドル以上のトークンが保有されていたと報告されています。しかし、これらのトークンを流動資金へ転換する際には、DEXの流動性不足やネットワーク・取引プラットフォームのセキュリティ対策が大きな障壁となりました。

ハッキングの原因は？

セキュリティ企業BeosinおよびDedaubの専門家による分析によれば、Poly Networkのセキュリティ侵害は、プラットフォームのメインスマートコントラクトで使用されていた秘密鍵の盗難が発端とみられます。これは攻撃経路の理解において重要な発見です。

セキュリティアナリストは、今回の悪用がコントラクトのロジックやコード構造上の脆弱性によるものではなく、ネットワークの根幹を制御する暗号鍵の漏洩が原因だとしています。

調査によると、ネットワークのメインスマートコントラクトを管理する4つの管理者ウォレットのうち3つの秘密鍵が漏洩しました。これにより攻撃者はプロトコルに管理者レベルのアクセス権を得ることができました。正規の認証情報を使ってスマートコントラクトのセキュリティを迂回できるため、このタイプの攻撃は非常に危険です。

秘密鍵はブロックチェーンシステムの最終認証機構であり、漏洩すると攻撃者は管理者として取引や操作を実行できるため、特にクロスチェーン資産移転を扱うプロトコルでは絶対的なセキュリティが必要です。

報道時点で、Poly Networkチームは秘密鍵漏洩に関する公式な説明や確認を発表していません。詳細な情報開示がない理由には調査の進行や追加のセキュリティ懸念があるとみられます。

DeFiネットワーク運営チームは、中央集権型取引所や法執行機関と連携し、犯人の特定と盗難資産の回収を進めていると発表しました。技術分析と法的措置の両面から対応しており、事件への真剣な姿勢がうかがえます。

大手取引所のCEOは、自社ユーザーが今回の事件の影響を受けていないと強調し、同取引所が被害ネットワークからの入金をサポートしていないことを明言しました。この発表は市場の懸念を鎮め、主要プラットフォームでのセキュリティプロトコルの重要性を示しました。

Poly Networkチームは、影響を受けたプロジェクトに分散型取引所から流動性を撤回するよう、また影響資産を保有するユーザーには資産のアンロックと流動性プールトークンの回収を要請しました。これらの措置は被害拡大の最小化と、攻撃者による追加流動性へのアクセス防止を目的としています。

さらに、チームはハッカーに盗難資産の自主返還を呼びかける直接的な訴えも行いました。こうしたアプローチは過去にも一定の効果を示した事例があり、暗号資産業界特有の対応策となっています。

Poly Networkにおける2度目の大規模セキュリティ侵害

今回の攻撃は、Poly Networkが近年経験した2度目の大規模なセキュリティ侵害であり、同プラットフォームのセキュリティ基盤やプロトコルの信頼性に重大な疑問を投げかけています。

2021年8月、ハッカー集団がネットワークの脆弱性を突き、約6億1,100万ドル相当の暗号資産を盗み出しました。この事件は史上最大級の暗号資産流出事件の一つとなり、DeFiコミュニティに大きな衝撃を与えました。クロスチェーンブリッジプロトコルは高度な攻撃者の標的となるリスクが高いことが改めて浮き彫りになりました。

2021年の攻撃では、ハッカーが2日以内にほぼすべての盗難資産を返還するという前例のない展開となりました。自主的な資産返還は、ハッカーの動機（ホワイトハッカーによる脆弱性露呈か、資金洗浄の技術的困難か）について憶測を呼びました。

当時のセキュリティ報告では、クロスチェーンメッセージ署名用の秘密鍵が漏洩したことが原因とされています。Poly Networkは秘密鍵管理の問題を継続的に抱えており、2度の大規模侵害がいずれも秘密鍵漏洩に関連していることから、コード脆弱性だけでなく構造的なセキュリティ課題が存在しています。

同じプラットフォームで重大なセキュリティ侵害が繰り返されることは、クロスチェーンブリッジの根本的なセキュリティ設計に対する課題を示します。これらのプロトコルはブロックチェーン間の相互運用性に不可欠ですが、複数ネットワークでのセキュリティ維持が求められるため、攻撃対象範囲が広がり新たなリスクが生じます。

繰り返される侵害は、DeFi分野におけるセキュリティ研究者と攻撃者の攻防が続いている現状も示しています。プロトコル側が新たなセキュリティ対策を講じれば、攻撃者はそれを回避する手法を開発し、暗号資産業界はより強固なセキュリティ基盤構築へ向けて課題に取り組み続けています。

よくある質問

Poly Networkとは何ですか？なぜハッカーの標的になったのですか？

Poly Networkは複数のブロックチェーン間で資産移転を可能にするクロスチェーン取引プラットフォームです。2021年にはスマートコントラクトの脆弱性が原因でハッキング被害を受け、6億1,000万ドルの損失を被りました。コントラクト設計の不備がクロスチェーン取引システムの重要な弱点を露呈させました。

今回の攻撃でハッカーはどのように1,000万ドル相当の暗号資産を盗んだのですか？技術的な手法は？

攻撃者は盗難された管理者キーを悪用してPoly Networkの暗号資産リザーブにアクセスし、Ethereumや複数のブロックチェーンブリッジを通じて資産を迅速に移転・分散させました。

Poly Network上の資産は安全ですか？自分の資産に影響はありますか？

Poly Networkは重大なセキュリティ侵害を受けました。影響を受けたユーザーは直ちにアカウントの確認を行ってください。プロトコルはその後、セキュリティ強化策を実施し、被害ユーザーへの補償も行っています。詳細は公式チャネルでご確認ください。

クロスチェーンブリッジプロトコルにはどんなセキュリティリスクがありますか？ユーザーが資産を守るには？

クロスチェーンブリッジにはスマートコントラクトの脆弱性、バリデータ攻撃、流動性リスクがあります。ユーザーは監査済みプロトコルの利用、コントラクトアドレスの確認、秘密鍵の厳重管理、資産の大量ブリッジを避けることでリスクを低減できます。

暗号資産取引所やクロスチェーンプラットフォームでの類似のセキュリティ事件は？回避方法は？

過去事例としてMt.Goxのハッキング、Bitfinexの侵害、Binanceのアカウント不正利用などがあります。予防策：堅牢なセキュリティプロトコルの取引所利用、二段階認証の有効化、規制プラットフォームの選択、コールドウォレットによる資産保管、セキュリティ最新情報の確認、分散型取引所の利用も検討してください。

今回の事件に対するPoly Networkの公式対応は？補償はありますか？

Poly Networkは公式に被害ユーザーへの補償を約束し、盗難資産の回収および補償プロセスを完了しました。