2022年3月23日、北朝鮮の悪名高いハッカー集団が約6億2500万ドル相当のETHとUSDCを盗み出し、Axie Infinityのエコシステムを混乱に陥れた。親会社であるSky Mavisはセキュリティ上の脆弱性を解消したが、プレイヤーたちは損失が完全に補償されるのかどうかを見守っており、ハッキングをめぐる興味深い詳細が次々と明らかになっている。
Axie Infinityの仕組み、そのメカニズムが致命的な欠陥につながった経緯、そして組織が6億2500万ドルの損失にどのように対応したのかを見ていきましょう。
北朝鮮のハッカーがAxie Infinityのエコシステムから約6億2500万ドル相当のETHとUSDCを盗み出した。舞台裏で何が起こったのか、そしてプレイヤーは今後何を期待できるのかを解説する。
Axie Infinityとは何ですか?
Sky MavisのAxie Infinityは人気のブロックチェーンベースの プレイして稼ぐゲーム各プレイヤーは、異なる特性と強みを持つ「Axies」(NFT)を最低3つ入手することからゲームを開始します。その後、プレイヤーは自分のAxiesを使ってポケモン風の対戦で他のプレイヤーと戦い、「スムーズラブポーション」(SLP)を獲得します。獲得したSLPは、Axiesの繁殖(および販売)に使用できます。
昨年、スカイ・メイビスは イーサリアムサイドチェーン トランザクション速度の向上とガス料金の削減を目的として開発されたRonin Networkは、少数の「信頼できるエンティティ」が個々のトランザクションを検証し、それらを大きなブロックにまとめてイーサリアムのブロックチェーンに統合する、プルーフ・オブ・オーソリティ(PoA)コンセンサス機構を採用している。
同社は今年、RONガバナンストークンも発行した。これにより、ユーザーはRonin Network上での取引の支払いにRONを利用できるほか、ガバナンスやバリデーターを通じたステーキングなど、分散型金融(DeFi)の機能を活用して報酬を獲得できるようになった。1月の発行後、このトークンは3.75ドル前後で取引された。
ハッカーが6億2500万ドルを盗んだ方法
Axie Infinityのプレイヤーのほとんどは、Roninブリッジを使ってSLP、AXS、RONをイーサリアムや法定通貨に変換しています。ブリッジは、現金を預け入れ、チップでギャンブルをし、最後にチップを現金に戻すカジノのようなものだと考えてください。この場合、スマートコントラクトがETH(現金)と「ラップド」ETH(チップ)間の変換を処理します。
Ronin Networkのバリデーターは、これらのトランザクションをEthereumブロックチェーンに追加する前に確認します。しかし残念ながら、このネットワークにはバリデーターがわずか9人しかいなかったため、「51%攻撃」に対して脆弱でした。これは、5人のバリデーターが合意するだけでトランザクションを偽造できるというものです。さらに悪いことに、プルーフ・オブ・オーソリティ方式を採用していたため、この攻撃はより容易になりました。
2022年3月23日、ラザルスと名乗る北朝鮮のハッカー集団が、9つのバリデーターのうち4つを侵害した。この集団は投票権を悪用して取引を偽造し、17万3600ETHと2550万USDC、総額6億2500万ドル以上を盗み出した。この問題は、スカイ・マービンが引き出しを停止した2022年3月26日まで発覚しなかった。
この盗難事件は、カジノが流通しているチップだけで6億2500万ドル相当の現金を失ったようなものだと考えてください。しかし、当然ながら、裏付けとなる現金がなければ、チップの価値は1対1ではなくなります。そこで、この状況を打開するため、同社は資金を回復するために6億2500万ドルの現金を調達しようとしています。さもなければ、トークンの価値を下げざるを得なくなるでしょう。
Axie Infinityの回答
Sky Mavisは最近、ネットワーク上のバリデーター数を11人に増やし、トランザクション処理には少なくとも10人のバリデーターの合意を必要とするようになった。さらに、同社は出金状況を監視し、潜在的な問題をより早期に特定するためのサーキットブレーカーを導入している。そして最後に、セーフティネットを構築するために、資金の一部を担保にしている。
もちろん、これらの対策はいずれも既に失われた資金を補填するものではありません。同社は不足分を補うために資金調達を目指しています。6億2500万ドルは高額ですが、同社は既にシリーズBラウンドで1億5200万ドルを調達しており、ハッキング事件前の企業価値は約30億ドルだったため、ある程度の余裕があると考えられます。
朗報は、仮想通貨取引所がこれらの資金の一部を回収できる可能性があるということです。例えば、ハッカーは盗んだ資金を86の仮想通貨取引所に移そうとしました。 バイナンス 取引所は直ちにこれらの口座を差し押さえ、約6万ドルの資金を回収した。しかし、ハッカーたちはその資金のほとんどを、トルネードキャッシュのような匿名性の高い仮想通貨に流用する可能性が高い。
仮想通貨愛好家のための教訓
Axie InfinityのRoninハッキング事件は、セキュリティ侵害が相次ぐ中で起きた最新の事例に過ぎない。例えば、2021年8月にはPolygon Networkが6億1100万ドルを失ったが、ハッカーは資金の大部分を返還した。もう一つの有名な例はWormhole強盗事件で、ハッカーが橋を標的にして3億2600万ドルを盗んだが、関係者が最終的に全員の損失を補償した。
これらの強盗事件やその他の事件から得られる最大の教訓は、仮想通貨プロジェクトはスマートコントラクトと斬新なアイデアに依存しているということだ。残念ながら、 スマート契約 他のソフトウェアプログラムと同様に、バグが含まれている可能性があり、それが高額な損害につながる脆弱性となる可能性がある。同時に、ハッカーは合意形成メカニズムに関する斬新なアイデアを悪用する方法を常に模索している。
これらの問題を回避するには、いくつかの方法があります。
- 仮想通貨への投資は分散させましょう。そうすれば、特定の通貨が下落しても、すべてを失うことはありません。
- P2Eゲームの収益を、イーサリアムなどの安定した暗号通貨に定期的に換金しましょう。
- コンセンサスメカニズムやスマートコントラクトに関する斬新なアイデアには、慎重に取り組むべきである。
これらの攻撃の唯一の救いは、盗難や物理的な損失によるものでない限り、税金で損失を控除できる可能性があることです。株式や債券とは異なり、暗号通貨は ウォッシュセールルール これは、30日以内に同一の資産を買い戻した場合、損失に対する控除を申請することを禁じるものです。したがって、キャピタルゲインと最大3,000ドルの通常所得を相殺することができます。
ボトムライン
Axie Infinityのハッキング事件は、分散型金融とプレイ・トゥ・アーン(Play-to-Earn)のエコシステムがまだ黎明期にあることを改めて思い起こさせる出来事だ。数十億ドルの評価額を集めているかもしれないが、その背後にある技術は しばしば影響を受けやすい 他のソフトウェアと同様に、同様の脆弱性を抱えている。したがって、プレイヤーや投資家は慎重に行動する必要がある。
仮想通貨に投資する場合、ZenLedgerは取引所やウォレットを横断した取引の集計、キャピタルゲインとキャピタルロスの計算、そしてよく使われるIRS(米国国税庁)の申告書の自動入力などに役立ちます。さらに、TurboTaxと連携することで、すべてのプロセスを自動化できるだけでなく、監査に備えて確実な記録を残すことも可能です。
