イーサL2のアズテック、旧インフラで約216万ドル流出。4日間で被害総額430万ドル超に

4日間で2回のインシデント発生か

プライバシー技術を活用したイーサリアム(Ethereum)向けレイヤー2プロジェクト「アズテック(Aztec)」を支援するアズテック財団(Aztec Foundation)が、廃止済みプロダクトを対象としたエクスプロイト(スマートコントラクトの脆弱性を悪用した攻撃)を認識したと6月18日に発表した。

同財団によると、攻撃は6月17日に発生したという。被害を受けたのは廃止済みの旧ロールアップ「プライベート・ロールアップ・ブリッジ(Private Rollup Bridge)」だ。

オンチェーンセキュリティ企業ペックシールド(PeckShield)は、同ブリッジから約1,158ETH、15万DAI、0.47renBTCを含む約216万ドル(約3.4億円)相当の暗号資産(仮想通貨)が流出したと報告している。

アズテック財団は、被害を受けたブリッジは4年前に廃止済みであり、アズテックラボ(Aztec Labs)は同システムに対する管理権限を保有していないと説明した。また、今回のインシデントは現行のアズテックネットワーク(Aztec Network)および「AZTEC」ERC-20トークンとは無関係だとしている。

また、今回のインシデントに先立ち、アズテックラボは6月15日、2023年に廃止された決済プロダクト「アズテックコネクト(Aztec Connect)」で前日の6月14日に攻撃が発生した可能性を公式Xアカウントで発表していた。

その後アズテックラボは公式ブログで、6月14日に約219万ドル(約3.5億円)、さらに6月15日に同じ脆弱性を悪用した追加攻撃により約8.8万ドル(約1,400万円)が流出したと報告している。

これにより、6月14日および15日のアズテックコネクトに対する攻撃と、6月17日のプライベート・ロールアップ・ブリッジへの攻撃を合わせた被害総額は、約444万ドル(約7.0億円)規模となった可能性がある。

今回のインシデントについて、複数のセキュリティ企業や研究者が分析結果を公表している。

セキュリティ企業ブロックセック(BlockSec)は、6月17日の攻撃について、6月14日に発生したアズテックコネクトのインシデントとは異なる脆弱性を悪用したものとの見解を示している。一方で、両インシデントはいずれも旧アズテックのロールアップ基盤における証明検証プロセスに関連する問題だった可能性があると指摘している。

また、ディファイナード氏は、6月14日のインシデントではロールアップ処理におけるトランザクション数と内部データの整合性に関する不具合が悪用されたと分析している。同氏によると、攻撃者はこの不整合を利用して約219万ドル相当の資産を不正に引き出したという。

一方、6月17日のインシデントについて同氏は、「エスケープハッチ(escape hatch)」と呼ばれる緊急出金機能に関連する脆弱性が悪用されたとの見方を示している。同氏によると、攻撃者は細工されたゼロ知識証明(ZK Proof)を用いることで検証を通過させ、不正な出金を実行した可能性があるという。

また同氏は、両インシデントは同じバグによるものではないものの、いずれもロールアップとゼロ知識証明の境界部分における検証ロジックの問題に起因する可能性があると分析している。

なお、アズテックラボは、詳細について今後追加情報を共有するとしている。

参考:アズテックラボペックシールド(X)ディファイナード(X)
画像:PIXTA

関連ニュース

参照元:ニュース – あたらしい経済

コメント

タイトルとURLをコピーしました