プロジェクトCrossCurve(旧称EYWA)は、スマートコントラクトのハッキングサービスを悪用した標的型攻撃により深刻なセキュリティインシデントに巻き込まれました。攻撃者は異なるブロックチェーン間のトークン送信メカニズムを狙い、約300万ドル相当の資産を盗み出しました。これを受けて、プロジェクトチームは関係者に対し法的措置を開始し、資金の返還を促すために72時間の猶予期間を設けました。## 発見されたアドレスと初期対応CrossCurveのチームは、インシデント直後に盗難資産が送金された10のEthereumアドレスを迅速に特定しました。CEOのボリス・ポヴァルは、送信プロトコルの脆弱性が不正な資金引き出しに悪用されたと説明しています。初期段階では、受取人が違法な資金であることを認識していない可能性も示唆されていましたが、この善意の対応は、資産の自主返還と関係者との直接連絡を促す3日間の猶予期間に基づいていました。未だ合意された解決策が得られない場合、CrossCurveは刑事告訴や、暗号資産取引所との協力による資産凍結、さらに国際的な法執行機関やブロックチェーン分析企業との連携を進めると表明しています。## 被害規模は複数ネットワークに分散ブロックチェーンのセキュリティ監視に特化した分析プラットフォームDefimons(Decurity運営)は、総被害額が約300万ドルにのぼり、複数のブロックチェーンネットワークに分散していると報告しました。同じく分散システムの安全性を担保するリーディング企業BlockSecの推定によると、損失額は約276万ドルに達しています。詳細な内訳によると、Ethereumネットワークが最も多く130万ドルの損失を出し、Arbitrumは約128万ドルの被害を受けました。その他、Optimism、Base、Mantle、Kava、Frax、Celo、Blastといったネットワークでも損失が記録されており、多様な攻撃ベクトルが用いられたことを示しています。CrossCurve自体は、被害総額の公式評価を未だ公表しておらず、Decryptのメディアを通じて専門家に追加分析を依頼しています。## 技術的背景:検証不足と信頼チェーンの脆弱性BlockSecのチームは、脆弱性の仕組みについて解説しています。主な問題は、異なるブロックチェーン間のメッセージを検証するシステムの不十分さにあります。ターゲットネットワークに到達したメッセージは、その正当性を確認される必要がありますが、今回のケースでは、コントラクトが偽のデータを正規のものと誤認し、資金引き出しの指示を実行してしまいました。BlockSecの分析者は、クロスチェーンのブリッジのアーキテクチャにおける重大な脆弱性を指摘しています。多くのシステムは単一の検証層に依存しており、その層が侵害または迂回されると、信頼の連鎖全体が崩壊します。Unstoppable Walletの研究開発部門長ダディバヨは、Decryptとのインタビューで、「問題はAxelarのメインプロトコルではなく、CrossCurveが独自に開発したReceiverAxelarコントラクトにあり、十分な認証レベルなしにメッセージを処理していた」と述べています。## 歴史的な類似例とシステム的教訓過去にも類似の事例があります。2022年のNomadブリッジのハッキングは、検証ロジックの脆弱性を示すものでした。ダディバヨは、クロスチェーンシステムの安全性において最も重要なのは、メッセージの伝送層そのものではなく、行動を実行する前の完全な認証を確保することだと指摘しています。カスタムのメッセージ受信者は、しばしば防御の最も弱い部分となります。現在、クロスチェーンブリッジは大量の流動性を集めており、各プロジェクトが独自の検証ロジックを開発していますが、こうしたシステムはハッキングや標的型攻撃の標的となりやすい状況です。CrossCurveの事例は、クロスチェーンソリューションの複雑なアーキテクチャには、技術的な知識だけでなく、安全性モデルの抜本的な見直しも必要であることを示す警鐘となっています。
CrossCurveは、そのクロスチェーンインフラストラクチャのサービスへの攻撃後、訴訟の脅威に直面しました
プロジェクトCrossCurve(旧称EYWA)は、スマートコントラクトのハッキングサービスを悪用した標的型攻撃により深刻なセキュリティインシデントに巻き込まれました。攻撃者は異なるブロックチェーン間のトークン送信メカニズムを狙い、約300万ドル相当の資産を盗み出しました。これを受けて、プロジェクトチームは関係者に対し法的措置を開始し、資金の返還を促すために72時間の猶予期間を設けました。
発見されたアドレスと初期対応
CrossCurveのチームは、インシデント直後に盗難資産が送金された10のEthereumアドレスを迅速に特定しました。CEOのボリス・ポヴァルは、送信プロトコルの脆弱性が不正な資金引き出しに悪用されたと説明しています。初期段階では、受取人が違法な資金であることを認識していない可能性も示唆されていましたが、この善意の対応は、資産の自主返還と関係者との直接連絡を促す3日間の猶予期間に基づいていました。
未だ合意された解決策が得られない場合、CrossCurveは刑事告訴や、暗号資産取引所との協力による資産凍結、さらに国際的な法執行機関やブロックチェーン分析企業との連携を進めると表明しています。
被害規模は複数ネットワークに分散
ブロックチェーンのセキュリティ監視に特化した分析プラットフォームDefimons(Decurity運営)は、総被害額が約300万ドルにのぼり、複数のブロックチェーンネットワークに分散していると報告しました。同じく分散システムの安全性を担保するリーディング企業BlockSecの推定によると、損失額は約276万ドルに達しています。
詳細な内訳によると、Ethereumネットワークが最も多く130万ドルの損失を出し、Arbitrumは約128万ドルの被害を受けました。その他、Optimism、Base、Mantle、Kava、Frax、Celo、Blastといったネットワークでも損失が記録されており、多様な攻撃ベクトルが用いられたことを示しています。CrossCurve自体は、被害総額の公式評価を未だ公表しておらず、Decryptのメディアを通じて専門家に追加分析を依頼しています。
技術的背景:検証不足と信頼チェーンの脆弱性
BlockSecのチームは、脆弱性の仕組みについて解説しています。主な問題は、異なるブロックチェーン間のメッセージを検証するシステムの不十分さにあります。ターゲットネットワークに到達したメッセージは、その正当性を確認される必要がありますが、今回のケースでは、コントラクトが偽のデータを正規のものと誤認し、資金引き出しの指示を実行してしまいました。
BlockSecの分析者は、クロスチェーンのブリッジのアーキテクチャにおける重大な脆弱性を指摘しています。多くのシステムは単一の検証層に依存しており、その層が侵害または迂回されると、信頼の連鎖全体が崩壊します。Unstoppable Walletの研究開発部門長ダディバヨは、Decryptとのインタビューで、「問題はAxelarのメインプロトコルではなく、CrossCurveが独自に開発したReceiverAxelarコントラクトにあり、十分な認証レベルなしにメッセージを処理していた」と述べています。
歴史的な類似例とシステム的教訓
過去にも類似の事例があります。2022年のNomadブリッジのハッキングは、検証ロジックの脆弱性を示すものでした。ダディバヨは、クロスチェーンシステムの安全性において最も重要なのは、メッセージの伝送層そのものではなく、行動を実行する前の完全な認証を確保することだと指摘しています。カスタムのメッセージ受信者は、しばしば防御の最も弱い部分となります。
現在、クロスチェーンブリッジは大量の流動性を集めており、各プロジェクトが独自の検証ロジックを開発していますが、こうしたシステムはハッキングや標的型攻撃の標的となりやすい状況です。CrossCurveの事例は、クロスチェーンソリューションの複雑なアーキテクチャには、技術的な知識だけでなく、安全性モデルの抜本的な見直しも必要であることを示す警鐘となっています。