概要

  • 研究者や専門家たちはDriftの設計を精査し、特定の設計要素や手続きが2億8500万ドルのエクスプロイトを阻止できたのではないかと疑問を投げかけている。
  • この事件は、多くのDeFiプロジェクトが技術的なセキュリティをサイバーセキュリティの衛生よりも優先していることを示していると、SVRN COOのDavid Schwedは指摘した。
  • 観察者らは、「タイムロック」があれば、Driftが介入し、攻撃者が資金を持ち出すのを阻止できた可能性があると主張している。

数百万ドル相当の暗号資産が分散型金融プロトコルから持ち去られた場合、厳しい問いが続くことが多い。Drift Protocolで起きた2億8500万ドルのエクスプロイトも例外ではない。

SolanaベースのプロジェクトであるDriftは、研究者や専門家による設計精査の対象となり、近年で最も高額なDeFi攻撃の1つを阻止できた設計要素や手続きが存在したのか、疑問が呈されている。

DriftはXでの投稿の中で、悪意のあるアクターが「新しい攻撃方法」によりプラットフォームへの不正アクセスを獲得し、Driftの「セキュリティカウンシル」に対する管理権限を得たと説明した。また攻撃には、ある程度の「高度なソーシャルエンジニアリング」が関与していた可能性が高いとも述べている。

DeFi史上最大級のこの窃盗事件は、分散型取引所に偽のデジタル資産を導入し、プラットフォームの出金上限を改ざんすることを軸にしていた。悪意のあるトークンの価値を釣り上げた後、攻撃者は借入の仕組みを悪用してDriftから本当の流動性を迅速に抜き取ることができた。

今回のエクスプロイトは朝鮮民主主義人民共和国に関連している可能性があると、ブロックチェーンインテリジェンス企業Ellipticは木曜日のレポートで指摘した。攻撃者のオンチェーン挙動やマネーロンダリング手法、ネットワークレベルのインジケーターを根拠としている。

ユーザー資金の預け入れにも影響が及び、プロトコルは予防措置として凍結された。その中で注目されているのがDriftの設計の中核要素、すなわち2つの秘密鍵から生成された署名で攻撃者が強大な権限を手に入れた「マルチシグウォレット」である。

マルチシグウォレットは多くのDeFiプロジェクトにおける中央集権化のポイントとなっており、今回の事件は、スマートコントラクト監査だけでは被害を完全に防げないという不都合な現実を浮き彫りにしているとSVRNのCOOでブロックチェーンセキュリティ専門家のDavid Schwedは述べた。

彼は

Decrypt
に対し、「コードによる金融仲介機能の置き換えを狙うサービスは、往々にして小規模チームやマルチシグウォレットのような中央集権ポイントに依存しており、これはサイバーセキュリティ上のリスクを生じさせる」と語った。

「今日のエンジニアは全員、テクノロジー側のセキュリティにばかり目を向けていて、プロセスに関与する人々には注目していません」と彼は述べる。「確かにプロトコル自体は分散型ですが、ガバナンスは5人の人間によって中央集権的に管理されています。」

『再び』

Schwedは、Driftのセキュリティの不備を過去最も悪名高いDeFiハックの一つになぞらえた。2022年に北朝鮮と関連するハッカーたちが6億2500万ドル以上のデジタル資産を奪取したRonin事件だ。この攻撃はNFTゲームAxie Infinity向けに開発されたEthereumのサイドチェーンが標的となり、Chainalysisによれば5つの秘密鍵へのアクセス獲得に依存していた。

ブロックチェーン分析では国家レベルの関与が指摘されている一方で、他の専門家は攻撃の精度からプロトコルに詳しい人物が関与しているとの見方を示している。Schwedは北朝鮮関連のハッカーによるものだったとは考えておらず、攻撃者が、内部者の可能性も含めて「誰を狙えば良いか知っていた」と感じている。

観察者の間では、「タイムロック」が導入されていれば今回のようなエクスプロイトがこれほど迅速には起こらなかったのではと推測されている。スマートコントラクトのこの機能は、一定の未来時点まで取引の実行や資金へのアクセスを制限し、Driftのチームに介入の機会をもたらす可能性がある。

「タイムロックはこのような攻撃に対して反応時間を稼ぐ上で有効であり、今回も有用だったでしょう。しかし、これが根本的な原因ではありません」とOak SecurityのマネージングパートナーStefan Byerは

Decrypt
に語った。「一番の問題は—またしても—特権キーが漏洩したことです。」

それでも、Neo Blockchainの創設者兼チェアDan Hongfeiは、Driftのように数百万ドル規模の資金を預かるプロトコルは一瞬にして空にされてはいけないと主張する。

彼はXでの投稿で、リスクの高い資産の上場など重要なアクションにはタイムロックを必ず設け、「攻撃者が数秒以内にエクスプロイト全体の連鎖を完結することを阻止する必要がある」と述べている。

この意見には暗号資産セキュリティ基盤提供のVenn Network創設者Or Dadoshも同意している。さらに異常な流出速度や金額閾値を超えた場合、自動でオペレーションを停止できる自動サーキットブレーカーの重要性も指摘された。

複数のセキュリティ専門家は、今回のようなエクスプロイトがDriftで最後になることはないと予想している。悪質なアクターたちはAIを活用し、次の標的を徹底的に分析する傾向が増しているという。

「今や、攻撃者は電話であなたの母親の声を偽造できるほどのレベルに到達しています」とDadoshは

Decrypt
に対し話した。「今は、1年前には想像もしなかったような場所や形態で金融攻撃が表面化する新時代に生きているのです。」