レイヤー1のプルーフ・オブ・ワーク(PoW)ブロックチェーンネットワークであるライトコイン(Litecoin)は、土曜日に「ゼロデイ」脆弱性による攻撃を受け、13ブロックのチェーン再編成(リオーグ)が発生した。ライトコインチームがこれを報告した一方で、他の開発者らはこのバグが以前から知られていた可能性があると指摘している。
ライトコインチームの最新報告によれば、このバグは新しくアップデートされたソフトウェアを使用していたマイニングプールに対してサービス拒否(DoS)攻撃を引き起こし、ハッシュパワーを抑制した。
これにより、古いノードが分散型取引所(DEX)やクロスチェーン・スワップ・プロトコルへコインを「ペグアウト(払い出し)」することが可能になり、同ネットワークのプライバシー層であるミンブルウィンブル・エクステンション・ブロック(MWEB)に無効なトランザクションが投稿される結果となった。
最終的に、アップデート済みのノードがネットワークのハッシュパワーの制御を取り戻し、13ブロックの再編成を実行して無効なトランザクションを無効化した。これらの取引はメインチェーンには記録されない。ライトコインチームは、バグは現在完全に修正されたと述べている。
今回の事案は、ゼロデイ脆弱性(製品をリリースしたソフトウェア開発者が関知していない潜在的なコードの脆弱性)が増加している中で発生した。アンソロピック(Anthropic)社の「クロード・ミュトス(Claude Mythos)」のようなAIシステムが、こうした攻撃対象領域の特定において人間を上回る成果を上げている。
ソフトウェアのバグを事前に把握していた可能性
レイヤー2スケーリングネットワーク「オーロラ(Aurora)」の共同創設者アレックス・シェフチェンコ(Alex Shevchenko)氏によれば、週の初めにバイナンス(Binance)のアドレスが攻撃者に資金を提供していたことから、攻撃が事前に計画されており、コードの脆弱性をあらかじめ把握していたことが示唆されるという。同氏は次のように述べた。
「DoSが停止した後にプロトコルが自動的に再編成を処理したという事実は、ハッシュレートの一部が実際にアップデートされたコードを実行していたことを意味しており、素晴らしいことだ。したがって、このバグは既知のものであり、ゼロデイではない」
ブロックチェーン開発者のヴァディム(Vadim)氏はこれに対し、「タイミングと標的設定から見て、これは偶然の機会ではなかった」と応じ、「ハッシュレートの低いレイヤー1は、もはやクロスチェーン価値の安全な担保とは言えない」と付け加えた。
異なるブロックチェーンプロトコル間でデジタル資産を転送するクロスチェーンブリッジは、長らく仮想通貨における主要な攻撃対象となっており、長年にわたり数十億ドルの損失を引き起こしてきた。
最近の注目すべきブリッジ攻撃の例としては、4月18日のケルプ(Kelp)リステーキング・プロトコルへの攻撃があり、今月初めに同プラットフォームから約2億9,300万ドルが流出した。
