一昨日Solanaエコシステムにおいてウォレット関連のハッキングが起こりました。被害アドレスは8,000以上、推定10億円程度の資産が流出しました。
数百億円程度を流出させてきたブリッジ系のハッキングと比較すると被害額自体は少なく見えますが、原因特定までに色々な憶測が飛び交い実際の被害ユーザー以外の多くのユーザーが資産退避の動きをしなければならなかった点で影響力が大きかった事故でした。
過去のブリッジ流出の規模感参考
PolyNetwork:660億円
Wormhole:340億円
Axie Infinity Roninブリッジ:750億円
Harmony Horizon Bridge:135億円
ハッキング判明の初動、飛び交う様々な憶測
3日朝、Solanaエコシステムについての脆弱性の発見及び対策について共有されました。この時点では原因判明しておらず、徐々に資産が抜かれている状況にSolanaユーザーは非常に不安な状況に陥っていました。
通常であればブリッジ利用や特定のDapps利用したユーザーなど、範囲特定されているためにエコシステム全体としてパニックになる大事に発展するケースは少ないかと思います。
一方で今回のケースでは判明当初どこからハッキングを受けたのか判明しておらず、資産を持っているユーザーは資産退避のアクションを取らざるを得ない状況に陥りました。
ハッキングの原因特定
公式発信をSalmonさんが翻訳してくれているのでそちら抜粋します。
一夜明けて無事原因特定され、Solanaブロックチェーン自体のハッキングではなく、Solanaエコシステムにおいてウォレット機能を提供しているslope walletがハッキングされていたことが判明しました。
秘密鍵がバックグラウンドでログ化されており、そこをハッカーに狙われてしまったみたいです。ユーザーとしてはMetamask等のウォレット同様にあくまで秘密鍵は自己で管理している認識だったと思いますが、裏側では秘密鍵のカストディに近い形での管理になっており、かなりセキュリティ上のリスクが高い管理方法になっていました。
今回のハッキングを経ての雑感
エコシステム全体の観点
エコシステム上のサードパーティ開発ベンダーが起こしたトラブルとはいえ、ウォレット等のエコシステムの基幹に近いプレイヤーがハッキングを受けるとエコシステムは甚大は風評被害を受ける。
原因特定が早急にできない場合、ユーザーはBinance等のCEX(中央集権型取引所)もしくはハードウェアウォレット等、比較的安全と思われる場所に資産を退避せざるを得ない。
原因特定ができない場合、エコシステムの重大なダメージを想定して、精算売りが発生するリスクもあり、一度エコシステム外に出ていった資産はユーザー心理を回復して戻るまで時間がかかる可能性もある。(TVL的ダメージ)
エコシステム内の仕組みとして、以下にサードパーティの秘密鍵漏洩リスクを排除するかは今後のテーマになる可能性ある。
特にモバイル環境においては、ウォレット認証ではなく、Dapps毎に秘密鍵を入力するリスクもある。
→ このあたりはスマートフォンなどハードウェア / OSレイヤーで秘密鍵管理をするソリューションがでてくるとセキュリティ向上できる可能性あり(Web3特化のスマートフォンニーズの話と同じ)
競合エコシステムに対して風評被害を食らわせるの打ち手として、漏洩リスクあるウォレットサービスの立ち上げなんかあり得る。サードパーティの事故にかこつけてエコシステム全体を落とし込むこともできてしまいそう。
いちユーザーとしてハッキングから身を守るには
資産保管するウォレットはハードウェアウォレットもしくは以下のアクションを行うウォレットとは切り離した別ウォレットで管理する(CEX預けるというのもあるが海外取引所において急に出金できなくなるケースもあるので万能ではないか)
WebブラウザでのDapps認証
アドオンやスマホウォレットなどサードパーティ製のアプリに秘密鍵を入力する
NFT / FTの発行受け取り 等
ウォレット構成の参考
Slopeウォレット、エアドロップ施策でユーザー集めてたこともあり、トークン配布目的で秘密鍵渡してた人も引っかかったみたいです。給付金目的で色々サービス触る際は、立ち上げ当初でセキュリティ甘いサービスに触れてしまう可能性もあるので更に気をつける必要性ありそうです。
ハッキングは早期に原因究明されるとは限らない。また公式情報発信までは時間がかかる上に、憶測は広がりやすい。誤った情報ソースや憶測で右往左往しないように、上記のような対策以外にも、有事の際のオペレーションは事前に作っておく。
追記
どうやらNEARウォレットでも同じような漏洩リスクがあったみたいです。
DYOR / Don’t trust, Verifyの社会は生き抜くのが大変です。皆さんもご注意ください。