レイヤー1ブロックチェーンプロジェクトであるAlephiumのクロスチェーンブリッジにおいて、約815,000ドル相当の暗号資産が流出するハッキング被害が発生しました。攻撃者は偽のブリッジメッセージを用いて、ブリッジの検証者であるガーディアンを騙し、不正な送金に署名させたとされています。現在、このブリッジは被害拡大を防ぐためにオフラインとなっています。
偽のメッセージを用いた巧妙な不正送金
今回のハッキングにおいて、攻撃者は偽造されたメッセージ(ブリッジメッセージ)を使用しました。この偽メッセージによって、ブリッジのトランザクションを検証・承認する役割を持つ「ガーディアン(検証者)」が欺かれ、結果として不正な送金に対する署名が行われてしまいました。
この異常なエクスプロイト(脆弱性を悪用した攻撃)は、ブロックチェーンセキュリティ企業であるBlockaidによって検知されました。検知後、さらなる被害を防ぐためにブリッジの機能は即座に停止され、現在はオフラインの状態が続いています。
鍵の奪取ではなく「検証プロセスの欺き」が課題に
クロスチェーンブリッジは異なるブロックチェーン同士を接続し、資産の相互運用性を高めるための重要なインフラですが、これまでにも多くのハッキングの標的となってきました。
一般的なブリッジハックでは、スマートコントラクトのバグを突く手法や、検証者の秘密鍵をハッキングして署名権限を奪う手法が多く見られます。しかし今回の事例では、検証プロセス自体に偽のメッセージを送り込むことで、検証者を騙して正規の署名を行わせるという手口が使われたとされています。
このような攻撃手法は、秘密鍵の厳重な保管だけでなく、ブリッジにおけるメッセージの検証ロジックやオフチェーンのバックエンドにおける安全性の確保がいかに重要であるかを、Web3業界のビジネスパーソンや開発者に対して改めて示す教訓となっています。
ポイント
- Alephiumのクロスチェーンブリッジから、約815,000ドルの資産が流出しました。
- 攻撃者は偽のブリッジメッセージを送り込み、検証者であるガーディアンを騙して不正な送金に署名させました。
- セキュリティ企業のBlockaidがこの攻撃を検知し、現在は被害拡大を防ぐためブリッジがオフラインに設定されています。
- 秘密鍵の盗難ではなく、検証プロセスを欺く巧妙な手口が使われた点において、ブリッジセキュリティの新たな課題として注目されます。