米国の暗号資産企業Nomadがデジタル窃盗の被害に遭い、ハッカーが同社のサービス利用者が保有する1億9000万ドル相当の暗号資産を盗み出しました。Nomadは8月1日、ツイートでこの盗難を確認し、「Nomadトークンブリッジに関するインシデントを認識しています。現在調査中で、情報が入り次第、最新情報をお知らせします」と述べました。
Nomadは、現在の暗号通貨ブームに乗じて、ビットコインやイーサリアムといった異なるブロックチェーンを接続するソフトウェアを開発しています。その目標は、暗号通貨投資家が第三者を介さずに、様々なブロックチェーン間でデジタル資産(トークン)を安全に交換できるようにすることです。Nomadのツイートで言及されているトークンブリッジは、ユーザーが異なるブロックチェーン間でトークンを転送できるようにするツールです。
トークンブリッジ:ブロックチェーンのセキュリティターゲット
ブロックチェーン・トークン・ブリッジは過去にも複数の盗難被害に遭っており、2022年に入ってから10億ドル以上の盗難被害に遭っていると、ロイター通信はブロックチェーン分析企業エリプティックの情報として報じている。6月には、米国の仮想通貨企業ハーモニーが、同社のブリッジ製品「Horizon」から約1億ドル相当のトークンがハッカーに盗まれたと明らかにした。また3月には、ゲーム「Axie Infinity」内で資産移動に使用されるツール「Ronin Bridge」から約6億1500万ドル相当の仮想通貨がハッカーに盗まれた。
これらの盗難は、ブロックチェーン トークン ブリッジの脆弱性と、暗号通貨取引のセキュリティを確保することの難しさを指摘しています。
「物理的な資産やお金を守る方法は何千年もかけて学んできましたが、デジタル通貨、特に暗号通貨のセキュリティ対策はまだ初期段階にあります」と、セキュリティ意識向上トレーニング会社KnowBe4のセキュリティ意識向上推進者、エリック・クロン氏は述べています。「物理的な資産とは異なり、デジタル商品やお金への攻撃は世界中のどこからでも行われる可能性があります。また、物理的な商品を盗もうとして逮捕されるのとは異なり、デジタルアイテムの盗難は当たり前のこととして受け止められており、逮捕されることは稀です。」
8月2日、Nomadは事件の最新情報を記載したフォローアップツイートを投稿しました。同社は、主要なチェーン分析・情報機関や法執行機関と協力し、盗難された資金の追跡と回収に取り組んでいると述べました。また、今後同様の盗難を防ぐためと思われる技術的な修正と行動計画を策定中であるとも述べています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
被害者は何を期待できるでしょうか?
現時点では、Nomadはホワイトハットハッカーの好意に頼って盗まれた通貨の一部を返還してもらおうとしています。同社は、カストディアン銀行のAnchorage Digitalと協力し、特定のデジタルウォレットでイーサリアムとERC-20(イーサリアム・リクエスト・フォー・コメント20)を受け付け、安全に保管していると述べています。Nomadのウェブサイトのホームページには、「ホワイトハットハッカーの友人」に対し、ETHまたはERC-20をウォレットアドレスに返還するよう呼びかける通知が掲載されています。そうでなければ、盗まれた資金の回収は困難になる可能性があります。
「仮想通貨の不可逆性は、サイバー犯罪者にとって格好の標的となっています」とクロン氏は述べた。「銀行間の多くのデジタル取引でさえ取り消しが可能ですが、仮想通貨取引は一度発生すると永久に消えません。さらに苛立たしいのは、その通貨が保管されている口座は確認できても、その口座が認証され、個人に直接紐付けられていない限り、ほとんど何もできないということです。」
暗号通貨企業と投資家は、どうすれば侵害から自らをより効果的に守ることができるでしょうか?
「仮想通貨を扱う個人や組織にとって、直面する脅威を理解することは不可欠です」とクロン氏は述べた。「フィッシング、ヴィッシング、スミッシングといったソーシャルエンジニアリング攻撃は、悪意のある人物が仮想通貨業界を攻撃する際に最も多く用いる手法の一つです。そのため、仮想通貨を扱う人々、特に組織は、ユーザーがこれらの攻撃の仕組みについて継続的に教育を受け、模擬攻撃で頻繁にテストを行うようにする必要があります。」
