レイヤー1 ブロックチェーン「ハーモニー(Harmony)」への「ホライゾン・ブリッジ(Horizon Bridge)」が悪用され、イーサ(ETH)と交換される1億ドルのアルトコインが流出した

今回のハッキングは、ブリッジを保護するとされる2 of 4マルチシグの堅牢性を巡って、以前からコミュニティで指摘されていた懸念を裏付けるものとなるかもしれない。

午前7時8分ごろから午前7時26分(米東部時間)まで、ブリッジからさまざまなトークンに対して11件のトランザクションが実行された。その後、トークンを別のウォレットに送って分散型取引所(DEX)のユニスワップでETHと交換し、ETHを元のウォレットに送り返した。

今のところ、フラックス(FRAX)、ラップドイーサ(WETH)、Aave(AAVE)、Sushi(SUSHI)、フラックスシェア(FXS)、AAG(AAG)、バイナンスUSD(BUSD)、ダイ(DAI)、テザー(USDT)、ラップドBTC(WBTC)、USDコイン(USDC)が、この流出によってブリッジから盗まれた。

ホライゾン・ブリッジは、ハーモニーとイーサリアム・ネットワーク、バイナンス・チェーン、ビットコイン間のトークン移転を容易にするものだ。ブリッジを運営するハーモニーは6月23日深夜、ブリッジが停止したことを発表した。BTCブリッジとその資産は攻撃の影響を受けていないとしている。

またハーモニーチームは、「政府機関やフォレンジックの専門家」と協力して、犯人の特定を進めているという。

ハーモニーの共同創設者で開発者のニック・ホワイト氏は、コメントの要請に応じなかった。ハーモニーは、プルーフ・オブ・ステーク(PoS)コンセンサスを用いたレイヤー1ブロックチェーンである。そのネイティブトークンはONEだ。

資金を流出させるために4人の署名者のうち2人しか必要としないホライズンのマルチシグウォレットの堅牢性については、以前から懸念が示されていた。仮想通貨に特化したベンチャーファンド「チェーンストライド・キャピタル」の創設者Ape Devは、4月2日にツイッターで、必要な署名者の数が少ないと、ハッキングのためにブリッジを開いたままになると指摘していた

Ape Devの予言は現実のものとなったようで、ブリッジは現在1億ドルの資産を減らしている。

Ape Devは、トークンブリッジのセキュリティに疑問を抱いている唯一の暗号開発者ではない。

ヴィタリック・ブテリン氏は今年1月、Redditへの投稿でトークンブリッジの問題について議論した。彼は、ブリッジが悪用されると、影響を受けた各チェーンの流動性を脅かすと主張している。さらに、トークンブリッジの量が増えるにつれ、あるチェーンで51%の攻撃を受けた場合の脅威は、他のチェーンに大きな伝染的リスクをもたらす可能性があるとも述べている。

彼の予言以来、Meterのトークンブリッジアクシー・イニフィニティのローニン・ブリッジワームホールブリッジがそれぞれ攻撃され、合わせて10億ドル近くが不正流出している。

マルチシグは、セキュリティ上の継続的な問題だ。ローニン・ブリッジは9つのバリデータによって保護されていたが、そのうち5つだけが取引の検証に必要だった。攻撃者は必要な5つのバリデーターをコントロールし、6億ドル以上の資産を引き出した。