2022年のこれまでの最大の攻撃では、盗まれた1億8500万ドルの担保に対して攻撃者が8000万ドルを「借りた」。
分散型金融(DeFi)プロトコルであるQubit Financeのエクスプロイトにより、昨日、あるハッカーが盗まれた8000万ドルの暗号を手にすることができました。
この攻撃を可能にした特定のスマートコントラクトの欠陥は、EthereumとBinanceスマートチェーン間のトークン交換を容易にするクロスチェーンブリッジであるX-Bridgeにありました。
この欠陥により、攻撃者はイーサリアムを入金することなく悪意のあるデータを入力し、その見返りとしてQubit xETH(Binance Smart Chain上のブリッジされたイーサリアムを表す資産)で1億8500万ドル相当を受け取ることができました。
その後、この資金を担保に、さまざまなレンディングプールから約8,000万ドル相当の暗号を「借用」しました。
監査法人CertiKによると、盗まれた資産の内訳は、15,688WETH(3,760万ドル)、767BTC-B(2,850万ドル)、約950万ドルのステーブルコイン、500万ドルのCAKEトークン、BUNNYトークン、MDXトークンとなっています。
攻撃者はqXETHの「担保」を換金しなかったため、Qubit Finance社の盗難による総コストは8,000万ドルとなっています。
Qubit offers crypto bounty
Qubit Financeは本日、攻撃の全容を実況したブログ記事を公開しました。
また、QubitのTwitterでは、「(攻撃者と)会話ができて嬉しい」とツイートしています。また、Qubit社が「コミュニティへの影響を最小限に抑えるために、明らかになったエクスプロイトに対して最大限の報奨金を提供する準備がある」というメッセージのスクリーンショットを添付しています。
【悪用者への私たちのメッセージ
https://t.co/4SxtuD6pQY pic.twitter.com/V9bICKvWda– Qubit Finance (@QubitFin) 2022年1月28日
ブロックチェーン・セキュリティ・アナリストのPeckshieldは金曜日の朝、Qubit Financeの融資プロトコルを監査し、近日中に詳細を提供するとツイートした。
@QubitFinのQBridgeがハッキングされ、巨額のxETH担保を鋳造し、プール資金を約8000万ドル流出させたようです。我々はQBridgeではなく、Qubitの貸し出しを監査したことに注意してください。さらに続きます…
– PeckShield Inc. (@peckshield) 2022年1月27日。
この攻撃は今年最大のものでしたが、2022年最初のクロスチェーンハックではありませんでした。
先週、ホワイトハットのハッカーがMultichainから173万ドルを盗んだ後、90万ドルを返し、残りを賞金としてポケットに入れています。
さまざまなブロックチェーンが普及し、それに伴ってクロスチェーンの活動が活発になるにつれ、QubitやMultichainのようなプロジェクトがハッカーの重要なターゲットになることが予想されます。