暗号界では時にハッカーが数百万をかっさらうこともあるが、最近のNPMパッケージに対するサプライチェーン攻撃は加害者にとって大失敗に終わった。バイラルになった@S4mmyEthのツイートによれば、この大規模侵入の背後にいるハッカーが手にしたのは各種ミームコインで約$492ほどだったという。そう、数十億回ダウンロード相当のJavaScriptライブラリを侵害したにもかかわらず、攻撃者のポートフォリオは金というよりミームのほうが勝っているようだ。

「サプライチェーン攻撃」とは、開発者が依存しているソフトウェア（この場合はJavaScriptエコシステムのNPMパッケージ）をハッカーが改ざんすることで起きる。今回の侵害は暗号関連アプリで使用されるライブラリを狙い、悪意あるコードがEthereumやSolanaなどのチェーンを横断してウォレットの取引を乗っ取る可能性を生んだ。LedgerのCTO、Charles Guillemetは直ちに警鐘を鳴らし、リスク回避のためオンチェーン活動の一時停止を呼びかけた。Ledgerの警告についてはthis Blockworks articleで詳しく読める。

ツイートはハッカーのウォレット保有状況を示しており、奇妙なトークンの寄せ集めが見て取れる：

トップはGondola (GONDOLA) の$224.09、次いでANDYが$96.57、BRETTが$74.61、ほかにDork Lord (DORKY) や Ethervista (VISTA) といったトークンが続く。@S4mmyEthがユーモアを込めて指摘するように、「最近で最も広範なハックを実行して$75のBRETTを手に入れることを想像してみてください」といった具合だ。コミュニティが被害を封じ込めるために団結した結果、サイバー犯罪が必ずしも大儲けにつながるわけではないことを改めて思い知らされる。

The Blockのような報道では、攻撃は大部分が封じ込められ、ハッカーの総取り分は約$503、あるいはCointelegraphによれば$50未満にとどまった可能性もあると伝えている。この「失敗した」強奪劇は、週当たり20億回以上のダウンロードがある人気NPMパッケージを侵害することを含んでいたが、SEALのようなセキュリティチームの迅速な対応が被害を限定した。JavaScript史上最大級の攻撃の一つと呼ばれている一方で、低い回収額は実行のまずさか効果的な対策の成果を示している。

ミームトークン愛好家にとっての重要性

ミームコインはしばしば盛り上がりとコミュニティの雰囲気で成り立っており、非常にボラティリティが高いため、この種の攻撃の標的になりやすい。BRETTやANDYのようなインターネット文化に着想を得たトークンは、混乱の中で価格が下落したり横ばいになったりした。このようなトークンを保有・取引しているなら、ウォレットのセキュリティを再確認し、怪しいdAppを避けるのが賢明だ。サプライチェーン攻撃の仕組みについては、CCNの解説も参照してほしい。

コミュニティの反応と得られた教訓

Crypto Twitter（CT）はミームと嘲笑で爆発し、ツイートへの返信欄はハッカーのしょぼい収益を揶揄するジョークであふれた。「最近で最も広範なハックを実行してCT全体に笑われることを想像してみて」といった皮肉もあれば、これがマーケティングの一環なのではないか、あるいは低時価総額コインが注目を集める手段だと憶測する声もあった。この事件は分散化されたセキュリティ慣行の重要性を強調している——依存関係を常に検証し、Ledgerのようなハードウェアウォレットを使うことが推奨される（皮肉にも今回警鐘を鳴らしたのはLedgerだ）。

ブロックチェーン実務者として、こうした出来事を把握しておくことは防御を強化する助けになる。ミームトークンに飛び込む際は、高リターンには高リスクが伴うことを忘れずに。信頼できる情報源からのアップデートを注視し、プロジェクトの脆弱性をスキャンするツールの利用を検討してほしい。

ミームコインのトレンドとセキュリティのヒントを知りたいなら、Meme Insiderをチェックし続けてほしい—ブロックチェーンのあらゆる情報を網羅するナレッジベースとしてあなたをサポートする。