攻撃者がPoly Networkから1,000万ドル相当の暗号資産を不正流出──その詳細

最近、巧妙なハッカーがPoly Networkのインフラを悪用し、セキュリティ企業Beosinの発表によると、約1,000万ドル相当のETHを流出させることに成功しました。今回の攻撃は、分散型金融エコシステムにおけるクロスチェーンブリッジのセキュリティに新たな大きな課題を突きつけるものです。

Poly Networkは7月初旬、ソーシャルメディアでDeFiエクスプロイトの被害に遭ったことを公表しました。この脆弱性により、攻撃者はなんと$340億相当の暗号資産トークンをミントできる状態となっていました。この規模は、クロスチェーンブリッジプロトコルが本質的に抱える重大なセキュリティリスクを浮き彫りにしました。

Poly Networkは複数のブロックチェーン間でシームレスな資産移転を実現するクロスチェーンブリッジとして機能しており、セキュリティ侵害の検知後、サービスを一時停止すると発表しました。この措置は、さらなる被害拡大を防ぎ、ユーザー資産を守るために講じられました。

DeFiネットワークの開発チームによると、このエクスプロイトでは10の異なるブロックチェーン上で57種類のトークンがミントされました。影響を受けたネットワークには、Ethereum、BNB Chain、Metis、Polygon、Avalanche、Hecoなど、主要なプラットフォームも含まれています。この多チェーンへの波及は、攻撃の高度さとクロスチェーンインフラの脆弱性の連鎖を示しています。

攻撃成功後、攻撃者のウォレットには$420億相当以上のトークンが記録されました。しかし、これら人工的にミントされた資産を現実の流動資金に換えることは、エクスプロイト自体よりもはるかに困難でした。

名目上は巨額の盗難トークンですが、攻撃者は全てを換金しようとした際、分散型取引所での流動性不足や、各ブロックチェーンネットワーク・中央集権型プラットフォームのセキュリティ対策など、大きな障壁に直面しました。この事例は、DeFiセキュリティの重要なポイント――エクスプロイトによって人工的なトークンを生み出せても、それを現実の価値に変換するには多層のセキュリティや市場制約を突破する必要がある――ことを示しています。

ハッキングの原因は何か？

Poly Networkのセキュリティインシデントは、BeosinおよびDedaubのセキュリティアナリストによる詳細分析の結果、プラットフォームの主要スマートコントラクトで使用されていた秘密鍵の窃取が主因とみられています。これは脆弱性の本質を解明する上できわめて重要な発見です。

アナリストらは、コントラクトのロジックやコード自体の脆弱性によるものではなく、より根本的な認証・認可の仕組みを標的とした攻撃だったと強調しています。つまり、プログラムの欠陥ではなく、認証インフラそのものが狙われた形です。

セキュリティ企業の指摘によれば、ネットワークの主要スマートコントラクトを管理する4つの管理者ウォレットのうち3つの秘密鍵が流出したとされています。この種の攻撃は、正当な管理者権限を使ってスマートコントラクトのセキュリティロジックを回避できるため、特に危険です。複数の管理者鍵が同時に侵害されると、通常は合意が必要な権限操作を攻撃者が単独で実行できてしまいます。

Poly Networkで採用されていたマルチシグ（複数署名）セキュリティは本来、単一障害点を排除するための仕組みですが、大多数の鍵が同時に侵害された場合、このモデルは機能しません。本件は、ブロックチェーンインフラにおける鍵管理の極めて重要な役割を再認識させるものです。

報道時点で、Poly Networkチームはこれらセキュリティ評価について公式な説明や確認を出していません。調査中の攻撃については、被害範囲や再発防止策の全容解明を優先するため、即時の情報開示が難しいことも多くなります。

DeFiネットワークの開発チームは、中央集権型取引所や法執行機関と連携し、犯人特定と盗難資産の回収に努めていることを明らかにしました。対応には、ブロックチェーンフォレンジクスやトランザクション追跡、従来型の捜査手法も動員されています。調査・対策期間中のユーザー資産保護のため、サービス一時停止も決定されました。

Poly Networkのハッキング後、大手取引所のCEOは、自社プラットフォームのユーザーに影響はなかったと説明しました。自社取引所はこのネットワークからの入金をサポートしていないため、ユーザーは今回のエクスプロイトから隔離されていると明言しています。この発言は、暗号資産取引所の統合選定やリスク管理の重要性を示しています。

被害ネットワークの運営チームも、影響を受けたプロジェクトに分散型取引所からの流動性引き上げを促し、該当資産を保有するユーザーには資産のアンロックと流動性プールトークンの請求を呼びかけました。これらは損失の最小化と、追加流動性の攻撃者による取得防止を目的としています。

さらに運営チームは、犯人に対し盗難資産の返還を要請し、法的責任回避を促しました。暗号資産業界ではこうした呼びかけが行われることも多く、刑事訴追の懸念から盗難資産が返還される事例も存在します。

Poly Networkで発生した2回目の大規模エクスプロイト

今回の攻撃は近年で2度目となるPoly Networkへの大規模エクスプロイトであり、同プラットフォームのセキュリティインフラや、クロスチェーンブリッジプロトコル全般の課題を改めて浮き彫りにしています。

過去の大きな事件では、ハッカーがネットワークアーキテクチャの脆弱性を突いて約6億1,100万ドル相当の暗号資産を盗み出しました。これは、金額・技術両面で暗号資産史上最大級のハッキング事件と見なされています。

注目すべきは、当時ハッカーが事件から2日ほどでほぼ全資産を返還したことです。この異例の展開により、ホワイトハッカーによる善意の行動から、法執行機関の圧力や巨額資産のマネーロンダリング困難さまで、さまざまな動機が憶測されました。

当時のセキュリティ報告では、クロスチェーンメッセージ署名用の秘密鍵漏洩がエクスプロイトの原因だったとされています。この攻撃経路は今回の事例とも共通しており、鍵管理が継続的な課題であることが示唆されます。

同一プラットフォームで短期間に大規模インシデントが繰り返されることは、DeFiエコシステムにとって複数の重要課題を示します。まず、セキュリティ侵害からの復旧や修正を行っても、根本的なアーキテクチャ脆弱性が残れば再発防止には不十分であること。さらに、クロスチェーンブリッジは複数ブロックチェーンで同時にセキュリティを維持するという特有の困難を抱えています。

Poly Networkのようなクロスチェーンブリッジは、複数ブロックチェーン環境で資産と認証を管理する必要があり、独自のセキュリティ課題に直面します。それぞれ異なるセキュリティモデルや脆弱性を持つチェーンをまたぐ複雑さと、管理資産の高額さが、巧妙な攻撃者にとって魅力的な標的となっています。

クロスチェーンインフラへの繰り返しの攻撃は、DeFiエコシステム全体に重大な影響を及ぼします。現行のクロスチェーンブリッジセキュリティモデルは、より強固な鍵管理、高度な監視、管理機能のための堅牢なコンセンサスメカニズムなど、抜本的な再設計が必要とされています。クロスチェーンの相互運用性がブロックチェーン普及の鍵となる中、業界はこれら課題への対応を模索しています。

よくある質問

Poly Networkとは何か、なぜ攻撃されたのか？

Poly Networkは複数のブロックチェーン間で資産移転を可能にするクロスチェーン相互運用プロトコルです。スマートコントラクトの検証メカニズムに脆弱性があったため、攻撃者は署名検証の不備を突いて複数チェーンにまたがり約1,000万ドル分の暗号資産を流出させました。

今回の攻撃で1,000万ドルはどう盗まれたのか？攻撃者の手法は？

攻撃者はPoly Networkのクロスチェーンブリッジの脆弱性を突き、秘密鍵に不正アクセスしました。その上で複数ブロックチェーンで不正な取引を実行し、パッチ適用前に攻撃者自身のウォレットへ資産を移しました。

Poly Networkのセキュリティ脆弱性の具体的要因は？スマートコントラクトのコードの問題か？

Poly Networkのハッキングはクロスチェーンブリッジのスマートコントラクトにおける署名検証機構の重大な脆弱性が原因でした。攻撃者は検証ロジックの不備を突いて不正なトランザクションや資金移転を偽造し、チェーン間操作のセキュリティチェックを回避しました。

この攻撃によるユーザー資産への影響は？盗まれた資産は回収可能か？

本攻撃で影響チェーンのユーザー資産が直接侵害され、Poly Network流動性プールから1,000万ドル相当が流出しました。資産回収はブロックチェーンフォレンジクスや法執行機関の協力次第で、一部は追跡・凍結が可能ですが、全額回収は不明です。ユーザーは保有資産の確認やセキュリティ強化を徹底してください。

Poly Networkのようなクロスチェーンブリッジプロトコルのセキュリティリスクとは？

クロスチェーンブリッジはスマートコントラクトの脆弱性、バリデータ侵害、流動性操作などのリスクを抱えます。Poly Networkの2021年のハッキングではアクセス制御や署名検証の不備が明らかになりました。主なリスクは、コードのバグ、オラクル攻撃、監査不足、資金窃盗の標的となる中央集権型バリデータセットの存在などです。

このような攻撃から暗号資産を守る方法は？

長期保管にはハードウェアウォレットを使い、マルチシグ認証を有効化、セキュリティプロトコルを定期的に更新、スマートコントラクト監査状況の確認後にのみ利用し、秘密鍵やシードフレーズは絶対に他人と共有しないでください。

Poly Networkが事件後に講じた回復・セキュリティ強化策は？

Poly Networkはセキュリティプロトコルの強化、包括的なスマートコントラクト監査、バグバウンティプログラムの設立、クロスチェーン検証機構のアップグレードなどを実施しました。また監視体制を拡充し、セキュリティ企業と連携して将来的な攻撃の防止に努めています。