暗号資産660億円流出のPoly Network、ハッカーが300億円近くを返却

Jonathan Greig (ZDNET.com) 翻訳校正: 編集部

2021-08-12 12:26

 分散型金融プラットフォームをハッキングし、前代未聞となる額の暗号資産(仮想通貨)を盗み出したハッカーが、その多くを返却したという。被害を受けたPoly Networkは米国時間8月11日、6億ドル(約660億円)を超える暗号資産が盗まれたものの、そのうちの2億6000万ドル(約290億円)が返却されたことを明らかにした。

 Poly Networkはクロスチェーンプラットフォーム「DeFi」を運営する。同社は声明で、今回の攻撃を仕掛けた身元不明の犯罪者は、これまでにBinance Smart Chain(BSC)で2億5600万ドル(約280億円)、Polygonで100万ドル(約1億円)、Ethereumで330万ドル(約4億円)を返却したとしている。

 Ethereumの2億6900万ドル(約300億円)とPolygonの8400万ドル(約93億円)がまだ返却されていないという。また同社は、今回の攻撃が契約の呼び出し時にまつわる脆弱性を悪用したものだとし、「うわさされているように、単一のキーパーによって引き起こされたものではない」としている。

 複数のリサーチャーは、この攻撃が「EthCrossChainManager」というPoly Networkの特権契約に関連付けられるものだとしている。

 さらにハッカーは、3部構成のQ&Aで、自らの考え方などを説明しているようだ。Ellipticの共同創業者Tom Robinson氏は、攻撃者とのやりとりをTwitterで公開している。攻撃者はその中で、Poly Networkのシステムに存在するバグを発見し、そのバグで何をするかを考えた上で最終的に、動かせる暗号資産を別の口座に移すことに決めたと述べている。

 攻撃者は自らの行動を利他的なものに見せかけようとしており、脆弱性が「内部の人間」によって悪用される前に明らかにしようとしたと主張している。また、匿名の電子メールアドレスとIPアドレスを使用しているため、その身元は完全に隠されているとも主張している。

 このハッカーは、「Poly Networkは優れたシステムだ。これは、ハッカーが楽しめる最も挑戦的な攻撃の1つとなる。どのような内部関係者やハッカーも素早く打ちのめす必要があった」と述べている。

 「仮想通貨の世界で本当のパニックを引き起こしたくはなかった。そのため、私はシットコインを無視することにした。ユーザーはそれらがゼロになることを心配しなくても良い。私は重要なトークン(Shibを除く)を取得し、それらを全く売っていない」

 攻撃者は、この攻撃へのPoly Networkの対応に不満を感じたため、最終的に暗号資産の売却、すなわちステーブルコインへの交換を始めたという。

 さらに、この攻撃者は「私はお金にさほど興味を抱いていない。私は人が攻撃された際の痛みを知っているが、彼らは今回の攻撃から何かを学ぶべきではないのか」としている。

 この犯人は、金銭の返却に遅延が生じているのは、自らが休息を必要としていること、そしてPoly Networkとの交渉のためにさらなる時間が必要であるとともに、身元を隠しつつ自らの尊厳を「証明」する必要があるためだと記している。

 また犯人はその主張の中で、暗号資産業界にとって重要であるという点から、Poly Networkのセキュリティを強化できるよう支援したいとしている。

 この大胆な攻撃により、Poly Networkは対応に追われ、ブロックチェーンや暗号資産のコミュニティーに激震が走った。同社はBitcoinやEthereum、Neo、Ontology、Elrond、Zilliqa、BSC、Switcheo、Huobi ECO Chain向けのブロックチェーンを横断して事業を営んでいる。

 Poly Networkが声明で犯罪者に警告した後、ハッカーは徐々に暗号資産を返却している。同社はハッカーに盗んだ暗号資産の返却を求めた。

 Poly Networkのチームは、「あなたがハッキングした金額はDeFi史上最大だ。どの国の当局も、大規模な経済犯罪とみなすだろう」と述べている。

 同社は、影響を受けた暗号資産取引所などを利用するマイナーらに向け、これらのアドレスから送られてくる全てのトークンをブラックリストに登録するよう訴えた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]