クロスチェーン転送に焦点を当てたマルチアセットブロックチェーンである Orbit Chain は、最近、高度なエクスプロイトの被害に遭いました。 特に、2023 年 12 月 31 日には、一連の不正取引により、約 8,160 万ドルに達する重大な経済的損失が発生しました。
このエクスプロイトは、所有者の秘密キーを侵害することによって実行され、攻撃者が出金取引用の偽の署名を作成できるようになったと考えられます。 このセキュリティ侵害により、イーサリアム (ETH)、テザー (USDT)、USD コイン (USDC)、ラップド ビットコイン (WBTC)、およびアルゴリズム ステーブルコイン DAI を含むさまざまな暗号通貨が新しいウォレットに不正に転送されるようになりました。
取引詳細
イーサリアム: 最初に 0.004 ETH の少額引き出しが行われ、その後、保管庫から約 9500 ETH が排出されました。
テザー: 攻撃者は最初に 9.71 USDT を引き出し、その後約 3,000 万ドル相当の USDT を引き出しました。
USD コイン: 攻撃者は 3.92 USDC という少額から始めて、最終的に約 1,000 万 USDC を使い果たしました。
ラップされたビットコイン: 最初の流出額は 0.012 WBTC で、その後、約 230.879 WBTC の大幅な引き出しが続きました。
テクニカル分析
このエクスプロイトの中核には、不正なトランザクションに対する有効な署名の悪用が含まれていました。 Orbit Chain のスマート コントラクト検証メカニズムには、署名を特定のトランザクションの詳細に直接関連付ける機能がありませんでした。 この見落としにより、バリデーターの少なくとも 1 つの秘密キーにアクセスできる攻撃者が検証チェックをパスし、不正なトランザクションを実行することが可能になりました。
エクスプロイト後、Orbit Chain チームは攻撃者と通信し、交渉の意欲を示しました。 将来このようなインシデントを防ぐには、ブロックチェーン プロトコルの検証プロセスを強化し、安全な秘密キー管理を確保し、不正なトランザクションに対するフェールセーフを実装することが推奨されます。 秘密キー管理を改善し、同様の侵害のリスクを軽減するには、ハードウェア セキュリティ モジュール (HSM) が推奨されます。
画像出典: Shutterstock
