2022年のDeFiセキュリティインシデントのレビュー

著者：あるセキュリティ専門家

最近、あるベテランセキュリティ専門家がコミュニティメンバーに向けて分散型金融のセキュリティクラスを共有しました。彼は過去1年以上にわたりWeb3業界で発生した重大なセキュリティ事件を振り返り、これらの事件の原因や予防策について探討し、スマートコントラクトの一般的なセキュリティ脆弱性をまとめ、一部の安全に関するアドバイスを提供しました。本記事ではその共有内容を整理しましたので、分散型金融愛好者の参考にしてください。

統計によると、2022年には300件以上のブロックチェーンセキュリティ事件が発生し、総額は430億ドルに達しました。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー

以下は8つの典型的なケースの詳細な分析であり、これらのケースでは損失額が大多数1億ドルを超えています。

ロニンブリッジ

イベント回顧:

• 2022年3月23日、Axie InfinityのサイドチェーンRonin Networkが侵害され、173,600 ETHと2,550万USDが盗まれ、約5.9億ドルの価値がありました。
• 米国財務省は、北朝鮮のハッカー組織Lazarusがこの事件に関与していると指摘しました。
• 報道によると、ハッカーはLinkedInを通じてSky Mavis社の従業員に接触し、システムへのアクセス権を取得するように誘惑した。

この攻撃は典型的なAPT(高度な持続的脅威)に該当します。ハッカーグループはソーシャルエンジニアリングなどの手法を使って、まずターゲット組織内の1台のコンピュータを制御し、そこからさらに浸透し、最終的に攻撃の目的を達成します。

事件は、会社の従業員の安全意識が薄弱であり、内部の安全システムに問題が存在することを暴露しました。

ワームホール

イベント回顧:

• WormholeのSolana側のコア契約の署名検証コードにエラーがあり、攻撃者が"ガーディアン"メッセージを偽造してWormholeラップされたETHを鋳造することを許可し、約12万枚のETHが失われました。
• Jump Cryptoは、損失をカバーするために120,000ETHを投資しました。

Wormholeが直面しているのは主にコードレベルの問題であり、いくつかの廃止された関数を使用しています。開発者には最新のバージョンを使用することをお勧めします。類似の問題を回避するために。

ノマドブリッジ

イベントの振り返り:

• NomadブリッジのReplicaコントラクト初期化時に信頼できるルートが0x0に設定され、旧ルートがタイムリーに無効化されなかったため、攻撃者が任意のメッセージを構築して資金を盗むことができ、1億9千万ドル以上の損失を引き起こしました。
• 複数のアドレスが攻撃に参加しており、MEVボット、ハッカー、ホワイトハッカーなどが含まれています。

これは典型的なケースです。初期設定に問題があり、有効な取引が繰り返し実行される可能性があります。MEVボットなどが発見した後、大量の攻撃取引がブロードキャストされ、詐欺事件が発生しました。

スマートコントラクトエコシステムのオープンソース特性は、ハッカーが分析し脆弱性を発見することを容易にします。プロジェクトに脆弱性が発生すると、基本的に失敗を宣告することになります。

ビーンスタック

イベント回顧:

• Beanstalk Farmsがフラッシュローン攻撃を受け、約1.82億ドルの損失を被った。
• 攻撃者は8000万ドル以上の利益を得ており、その中には約24830枚のETHと3600万枚のBEANが含まれています。
• 攻撃の原因は、提案の投票と実行の間に時間の間隔がないため、攻撃者が直接悪意のある提案を実行できることです。

攻撃プロセス:

1. トークンを事前に購入して提案資格を得る、悪意のある提案契約を作成する
2. フラッシュローンを通じて大量のトークン投票を取得する
3. 悪意のある契約が直接実行され、アービトラージが完了します。

このケースは、純粋な分散型ガバナンスメカニズムの潜在的なリスクを暴露しています。プロジェクトには、提案の審査メカニズム、投票のハードル、時間ロックなどの安全対策を設けることをお勧めします。

ウィンターミュート

イベントレビュー:

2022年9月21日、Wintermuteはハッキング攻撃を受けたことを確認しました。彼らは手数料を最適化するためにProfanityツールを使用して美しい番号のウォレットアドレスを作成していました。Profanityに脆弱性が存在することがわかった後、古い鍵の使用を迅速に中止しましたが、内部のエラーにより影響を受けたアドレスの署名権限が完全に削除されなかったため、資金が盗まれました。

オープンソースツールを使用する際は、セキュリティリスクを十分に評価する必要があります。特に、キー管理に関わるツールについては、より慎重であるべきです。

ハーモニーブリッジ

イベント回顧:

• Horizonクロスチェーンブリッジの損失は1億ドルを超え、13,000以上のETHと5,000のBNBを含む。
• Harmonyの創設者は攻撃が秘密鍵の漏洩によって引き起こされたと述べています。
• ブロックチェーン分析会社は、北朝鮮のハッカー組織ラザルスグループが背後にいる可能性があると考えています。

もし本当に北朝鮮のハッカーグループによるものであれば、攻撃手法はRonin Bridge事件に似ている可能性があります。近年、北朝鮮のハッカーグループは暗号通貨業界を対象とした攻撃活動が非常に活発です。

アンクル

イベントレビュー:

• Ankrの契約が更新された後、攻撃者は鋳造方法を通じて無から10兆枚のaBNBcを鋳造しました。
• 攻撃者はaBNBcの一部を500万USDCに交換したため、aBNBcの価格が急落しました。
• アービトラージャーは借貸プロトコルHelioの価格遅延メカニズムを利用して1700万ドル以上をアービトラージしました。
• Ankrは1500万ドルの補償を約束します。

後続の調査により、事件は退職した従業員の悪意によるものであることが判明しました。暴露された問題には以下が含まれます:

• 重要な契約は、マルチシグではなくEOAアカウントによって制御されます。
• コアスタッフはDeployerの秘密鍵を管理できます
• 内部セキュリティ管理に欠陥がある

! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー

マンゴー

イベントの振り返り:

• 攻撃者は1000万USDTを利用してMangoプラットフォームでロングとショートを行い、同時に他のプラットフォームでMNGOの価格を引き上げました。
• MNGO価格は0.0382ドルから0.91ドルに引き上げられ、攻撃者は4.2億ドルを得ました。
• 攻撃者は最終的に約1.15億ドルの資産を借り出しました。
• 攻撃者は、国庫資金を使って協定の不良債権を返済することを提案し、その条件として刑事調査を行わないことを求めた。
• 2022年12月、自称攻撃者のAvraham Eisenbergがプエルトリコで逮捕されました。

これは安全事件と見なすことも、アービトラージ行為と見なすこともできます。主な問題はビジネスモデルの欠陥であり、小規模なコインの価格は操作されやすく、プラットフォームのポジション管理が困難になることです。

プロジェクトチームは、さまざまな極端なシナリオを考慮してテストを行うべきです。ユーザーがプロジェクトに参加する際も、リスクを十分に評価し、利益だけに注目してはいけません。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー