2021年8月10日、DefiプロジェクトのPoly Networkがおよそ6億ドル(約660億円)のハッキング被害を報告した。流出金額としては過去最大となる。ハッカーはその資産の多くを返却している。
Important Notice:
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker’s following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71— Poly Network (@PolyNetwork2) August 10, 2021
Poly Networkとは
Poly Networkは、Neo(中国のブロックチェーンプロジェクト)の創業者が立ち上げたクロスチェーンDeFiで、以下3つのパブリックチェーンで運用されている。
・BSC(Binance Smart Chain)
・Ethereum
・Polygon
※クロスチェーンとは異なるブロックチェーン同士をまたぐこと
ハッキング方法
「EthCrossChainManager」というPoly Networkの特権契約まわりでのバグをついたもの?
Ok here’s how the Poly Network hack actually worked. If I’m reading the contracts correctly, it’s pretty genius.
— God-like Natural Number Creator Person (TM, R) (@kelvinfichter) August 10, 2021
経緯
2021.8.10 ??:?? 資産を盗難される
2021.8.10 21:38 Poly NetworkはTwitterで被害報告
2021.8.10 22:44 テザー社が盗まれたUSDTを凍結
2021.8.10 22:46 犯人は0.97億ドルをDEXへ
2021.8.11 00:26 犯人はブロックチェーン上にメッセージを記載
2021.8.11 00:53 Poly Networkは犯人に対してTwitterでメッセージを投稿
2021.8.11 12:48 犯人は資産返却の旨をメッセージに記載
2021.8.11 ??:?? Poly Networkは返却アドレスを用意
2021.8.11 17:?? 犯人は返金を開始
2021.9.12 ??:?? BSC,Polygonの資産はほとんど返却済み
犯行理由
犯人は「脆弱性が内部の人間によって悪用される前に明らかにしようとした」と主張しており、お金にも興味はなく、あくまで自分の攻撃によりPoly Networkの改善されることやセキュリティの強化支援をすると言っているようだ。まだ身元は判明していない。
編集部よりヒトコト
Defiは巷で大流行しているが(被害額の大小はあるが)このようなハッキング被害はこのプロジェクトに限らず頻繁に起きている。今回はすぐに原因の特定や犯人アドレスを特定し資産を凍結する迅速な対応ができたが、Defiへの投資には常にハッキングのリスクがあることを把握しておく必要がある。
ただし、Poly NetworkはDefiではない、そもそも分散しておらずハッキングの原因もどちらかというと集権的な銀行の管理ミスに近いという意見もある。
Coincheckの資産盗難の原因には人為的なミスもあり、ブロックチェーン自体の技術を揺るがすものではなかったにも関わらず事件により世間の風当たりが大きく変わってしまった事実もある。今回の件を機に今度はDefiが悪者扱いされてしまうことになれば業界にとってはよくない流れだ。
