Voltage Financeへの攻撃とその影響
2022年、分散型金融プロトコルVoltage Financeが467万ドルの攻撃を受けた際のハッカーが、短期間の休眠後に一部の盗まれたEtherをTornado Cashへ移動しました。ブロックチェーンセキュリティ企業のCertiKは、5月6日の投稿で、攻撃時に使用された別のアドレスから移動された100 Etherが、現在の価格で182,783ドル相当であり、ハッカーの追跡可能性があることを報告しました。
攻撃の手法と被害の詳細
2022年3月、攻撃者はERC677トークン標準の「組み込みコールバック関数」を利用して、再入可能性攻撃を通じてプラットフォームの貸出プールを枯渇させることに成功しました。攻撃後、Voltage Financeは、ハッカーがUSDC、Binance USD(BUSD)、ラップドビットコイン、イーサリアムトークンを含むさまざまなステーキングプールや暗号通貨を盗んだと報告しました。
そのハッカーがTornado Cashに資金を移動するために使用したアドレスは、11月から休止状態であり、最後の取引はEtherscanのデータによると166日前に行われました。
2022年の攻撃に関する調査報告では、Voltage Financeは攻撃者のアドレスがEtherscanでフラグ付けされており、取引所に対してその取引をブロックするよう依頼したことも明らかになりました。また、攻撃者に連絡を取り、資金を返還するための報酬を交渉しようとする試みも行われました。
コンプライアンスと対策
また、Voltage Financeのステーキングプールは、その3月の攻撃で影響を受け、総額322,000ドルが盗まれました。3月20日の調査報告で同社は、攻撃者に対し資金を返還するための報酬として50,000ドルを提供したことを明かし、さらにシンプルステーキングプールで作業していた可能性のある開発者を特定したと述べました。
「彼がハッカーであるかどうかは確認できていませんが、予防措置として、彼のアクセスを直ちに取り消し、法執行機関や中央集権的な取引所と協力するために警察に通報しました。」
暗号資産の損失と回収の試み
全体の暗号損失は4月に1,163%急増し、その大部分はアメリカの高齢者のウォレットからの単一の強盗によるもので、ハッカーは高度なソーシャルエンジニアリング技術を駆使して3,520ビットコインを盗み、その総額は約3億3,070万ドルとなりました。この攻撃を除くと、4月の暗号損失は3,400万ドルで、3月から21%の増加を示しました。
とはいえ、同月には分散型取引所KiloExの攻撃者が攻撃からわずか4日後に盗まれた資金のすべてを返還し、1,800万ドル以上が返却される結果となりました。さらに、ZKsync協会は、4月15日に発生したセキュリティインシデントに関連してエアドロップ配布契約から盗まれた500万ドル相当のトークンを回収しました。
