【-196億円】Nomadで大規模なハッキング事件が発生 | 概要や事件の内容を解説

ブリッジプロトコルのNomadがハッキングを受け1億5000千万ドル(約196億円)にのぼる暗号資産が流出しました。

上記の被害額は、先月7月全体で起きたWeb3関連プロジェクトで起こったハッキングや詐欺による被害総額の約85億円を大きく上回っています。

関連：【-85億円】7月のWeb3関連プロジェクトでの被害額が判明

本記事では、今話題のNomad ブリッジについて、プロジェクトの概要や事件の全容などについて解説していきます。

Nomadとは？

Nomadは、異なるチェーン間でトークンの送受信を可能とするクロスチェーントークンブリッジです。

Nomadでは、Avalanche、Ethereum、Evmos、Mikomeda C1、Moonbeamの5つのチェーンに対応しており、ETHやUSDC、USDT、WBTCといったトークンのブリッジが行えます。

NomadのTVL。ハッキングがあった8/2にTVLが急落しているのが分かる | 画像引用元：DeFi Llama

ハッキングが起こる前の8/1時点でのTVL (Total Value Locked)は$190m(約250億円)と、ブリッジプロトコル全体としてもTOP10位に入るTVLを記録していました。

Today we’re happy to publicly reveal some of crypto’s most trusted brands as part of the cohort of seed round investors in Nomad: ✨

– @coinbase Ventures
– @Cryptocom_Cap
– @0xPolygon
– @opensea
– @wintermute_t
– @GnosisDAO
– Algaé (https://t.co/d1YSNVZqjo)

0/ pic.twitter.com/2hBkS3Ztai

— Nomad (⤭⛓🏛) (@nomadxyz_) July 28, 2022

Nomadは、今年4月にPolychain主導でCircleやPolkadot、Cosmosなどから2200万ドルを調達。先月29日にはシードラウンドでCoinbase Ventures、Crypto.com、Polygon、OpenSeaなどから出資を受けていたことを明かしました。

今回の事件について

TVLの数字や業界からの評判も良かったNomadで、一体どのような事件が起きてしまったのでしょうか。時系列で見ていきます。

Nomad bridge getting rugged??? Looks very very sus pic.twitter.com/nvtMIjf0rD

— Spreek (@spreekaway) August 1, 2022

事の発端は本日8月2日の早朝6時、Nomadの関連アドレスで不穏な形でのWBTCの転送が行われているとしたツイートがSNS上に投稿されました。

2/ During this time, functionality will be limited and you will be unable to execute regular user transactions and smart contract interactions. Democracy, staking, the ability to unpause and upgrade will remain in effect. We will provide a more detailed update shortly.

— Moonbeam Network #HarvestMoonbeam (@MoonbeamNetwork) August 1, 2022

We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.

— Nomad (⤭⛓🏛) (@nomadxyz_) August 1, 2022

Nomadのブリッジに対応しているMoonbeam Networkは、上記投稿の2時間後にメンテナンスのためトランザクションとスマートコントラクトの実行に関する機能制限の実施を発表、その直後Nomadチームも問題対処のために調査を行なっている旨のツイートを行いました。

first wave of usdc pic.twitter.com/5TlMw3TIQN

— Spreek (@spreekaway) August 1, 2022

しかし、この時点で被害はWETH、USDCにまで及んでおり毎分約1000万ドル(約13億円)がブリッジから持ち出されている状況に。最終的にチームが対応する前にFRAX、CQT、DAIなど複数の通貨がNomadのブリッジから持ち出され、犯行発覚から数時間のうちに被害総額約196億円がハッキングされてしまいました。

原因は人為的なミスか

大手VCのParadigmのリサーチャーは、今回のハッキングは、先日Nomadチームが行ったアップグレードで、既に信頼できると判断されたルートで簡易的な「0x00」を初期化値として設定したことが原因と指摘しました。

犯人は、Solidityやマークツリーの知識を必要とせず、他人のアドレスを自分のものに置き換えて、同じメッセージを複数の受信者に同時転送するだけで今回の犯行は可能であったとしています。

1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes 👇 pic.twitter.com/Y7Q3fZ7ezm

— samczsun (@samczsun) August 1, 2022

あなたが今日から気をつけるべきこと

今回、ハッキング事件が発生したNomadは、前述の通りCoinbase venturesやPolychain、Circleなど著名な企業・VCからの出資を受けていました。

プロジェクトの良し悪しの判断基準の1つとしてVCの存在が挙げられますが、今回の件からも分かるように、大手VCが出資を行なっていることと、そのプロジェクトの安全性が保証されることはイコールではありません。

バックにいるVCが強力な場合、資金や業界でのコネクションが得られるため、プロダクトが良い方向に成長していく可能性が高まりますが、現状のプロダクトの安全性とは別領域の話となります。

次に②の「SNSの評判を鵜呑みにしない」関して。

DeFiの利用に関して、プロダクトの仕組みを全て理解しリスクを把握した上で自分の資金を預けるのが理想です。しかし、DeFiの仕組みを理解するには専門的な知識を要し、一般ユーザーにはハードルが高いのが現状。

すると多くの人は著名インフルエンサーやメディアの発信した情報を元に行動してしまいます。

リスクは人によって変化するもので、「ここまでだったら責めても問題ない」という範囲はその人のスキルや経験に大きく依存します。

前提条件が人によって全く異なるにも関わらず、Twitter上のたった数行の言葉を判断理由としてプロダクトに資金を預けてしまう行為は、素人がプロボクサーに喧嘩を売るぐらい無謀で危険な行為だと念頭に置いておきましょう。

まとめ

今回のNomadだけでなく、ブリッジプロトコルでは頻繁に大規模なハッキングが発生しています。

今年2月には、WormholeのEthereum⇆Solana間のブリッジで340億円規模のハッキング被害が発生。

今年4月には、人気ブロックチェーンゲーム「Axie Infinity」のRoninブリッジで、ETHやUSDCなど約750億円相当の暗号資産が盗難されています。

今回発生したNomadと、上記事件の原因やプロセスはそれぞれ異なりますが、ブリッジは現状のDeFiの利用に必要なプロセスであるため、それだけ資金も集まりやすく、1度のハッキングで多額の被害が発生してしまいます。

Ethereum創設者のヴィタリック・ブテリン氏が、クロスチェーンブリッジの課題を指摘したことは記憶に新しいですが、今後もブリッジプロトコルの課題に対する動向は是非注目したい部分です。

記事ソース：Twitter、The Defiant