分散型金融(DeFi) プロトコルは、分散型の金融サービスをユーザーに提供し、ユーザーが取引を行い、他の参加者と契約を結ぶことを可能にします。 DeFi プロトコルは、安全で信頼できるプラットフォームをユーザーに提供することを目的としていますが、過去数年間のいくつかのエクスプロイトにより、資金が大幅に失われています。 この記事では、最近発生した最も大規模な DeFi エクスプロイトのいくつかについて説明します。
以下は、返還された資金を差し引いた後の Web8 での上位 3 つの暗号 DeFi エクスプロイトです。
Ronin Chain – 600億ドル
2023 年 612 月は仮想通貨業界にとって波乱に富んだ月であり、Axie Infinity Ronin ブリッジのハッキングが XNUMX 億 XNUMX 万ドルでリストのトップになりました。
ローニンブリッジは Ethereum プレイして稼ぐ人気ゲーム Axie Infinity で使用されるサイド チェーン。
北朝鮮とのつながりが疑われるサイバー犯罪グループの Lazarus は、XNUMX 人のトランザクション検証者の秘密鍵にアクセスすることに成功し、XNUMX つの大規模なトランザクションを承認して、ウォレット アドレスから資金を移動することができました。 幸いなことに、当局、セキュリティ会社、仮想通貨取引所の協力により、ハッカーがトルネード キャッシュ (オープンソースの仮想通貨タンブラー) やその他の取引所に資金を誘導した後、これらの資金の一部を追跡することができました。
ワームホール ブリッジ – 323 億 XNUMX 万ドル
2022 年 326 月、仮想通貨ハッカーがワームホールのコードを悪用して XNUMX 億 XNUMX 万ドル相当の仮想通貨を手に入れるという不幸な事件が発生しました。
ワームホールは Solana と Ethereum の間のトークン ブリッジですが、残念ながら攻撃を防ぐことができませんでした。 これは、署名の検証をバイパスし、署名の委任のチェーンを有効にする、非推奨/完全に安全でない関数によって可能になりました。
の専門家 サイバーセキュリティ すべてのパラメーターをチェックする必要がある「安全なコーディング手法」を実践していれば、開発者は攻撃を防ぐことができたはずです。 このチェックにより、有効なアドレスの認証が保証され、不正なソースがチェーン上の資産にアクセスすることを排除できた可能性があります。
豆の木 – 181億XNUMX万ドル
2022 年 182 月の運命的な週末に、ハッカーが仮想通貨コミュニティを揺るがす攻撃を解き放ちました。 分散型金融 (DeFi) プロトコルの機能であるフラッシュ ローンを使用して、Beanstalk ステーブルコイン プロトコルから ETH、BEAN ステーブルコイン、およびその他の資産で XNUMX 億 XNUMX 万ドルを盗むことに成功しました。
ハッカーは、Beanstalk DAO の緊急コミット機能を介して 24 つの悪意のある提案を提示しました。これは、79 時間後に実装する前に XNUMX/XNUMX の投票を必要とします。 攻撃者はフラッシュ ローン技術を使用してトークンの XNUMX% を制御し、両方の提案を通過させ、計画を成功裏に実行しました。
資金はフラッシュ ローンを完済するためにプロトコル内から送信され、残りはウクライナに拠点を置く緊急資金に関連付けられたアドレスに送られました。 この勇敢な行為の責任者は、合計で最大 76 万ドルを受け取りました。
ノマド – 155億XNUMX万ドル
1 年 2022 月 XNUMX 日に発生した当惑する Nomad ブリッジのハッキングはニュースの見出しを飾りました。多くの人に衝撃を与えました。 ブロックチェーン 愛好家は攻撃者として脆弱性を利用して、マルチチェーン クロス ブリッジに保存された 190 億 XNUMX 万ドル相当の Ethereum ベースの資産を流出させました。
ハッカーは猛烈な速さで動き、何百ものウォレットが 960 件のトランザクションに関与し、ブリッジの Total Value Locked (TVL) から 1,175 件の引き出しが行われました。 すべて数時間以内。
このハッキングの複雑な側面は、ブリッジ ファンドをハッキングするためにユーザーがしなければならないことは、元のハッカーのトランザクション コール データをコピー アンド ペーストし、元のアドレスを個人のアドレスに置き換えるだけで、トランザクションが完了することでした。
ハッキングは、分散型金融 (DeFi) コミュニティ全体に衝撃波を送り、ハッカーがコードの抜け穴を悪用する際に一歩先を行っていることを証明しました。 Nomad ブリッジは、安全なコーディング プラクティスの重要性を示す実例を提供し、セキュリティが今日のブロックチェーン プロジェクトにとって進行中の課題である理由を補強します。
CREAM Finance – 130.8億XNUMX万ドル
2021 年 XNUMX 月の CREAM への攻撃は、最大規模のフラッシュ ローン強盗の XNUMX つでしたが、これは決して孤立した事件ではありませんでした。 フラッシュ ローン攻撃には、流動性の「フラッシュ ローン」の使用、借入、およびこの迅速な資金調達の不履行がすべて XNUMX つのトランザクション内で含まれます。
ハッカーは、価格計算の誤りを悪用して、借り物からすぐに利益を得ることができます。 たとえば、CREAM の場合、130 つの異なるアドレスがその yUSDVault とやり取りして、多数の crYUSD トークンを作成しました。 彼らは、これらの株式の価値を 1 倍にする脆弱性を悪用しました。 彼らは XNUMX 億 XNUMX 万ドル相当の資金を確保することに成功しましたが、利用可能な XNUMX 億ドル相当の担保は、この金額をはるかに超える可能性があります。
フラッシュ ローン攻撃はますます蔓延しており、コミュニティは今後のさらなるセキュリティ侵害を防ぐ方法について質問する必要があります。
BSC トークン ハブ – 127 億 XNUMX 万ドル
2022 年 570 月、BSC ビーコン クロスブリッジ コードの重大な脆弱性を悪用するハッカーは、合計 XNUMX 億 XNUMX 万ドルの暗号資産を奪いました。
トークン ハブとも呼ばれる BSc ビーコン チェーンは、BNB ビーコン チェーン (BEP2) と BNB チェーン (BEP20/BSC) を接続するチェーン間ブリッジです。
ハッカーは、トランザクションなどのデータの有効性を確認するためのマークル証明と呼ばれる暗号証明を偽造しました。 次に、彼らはこれらの偽のマークル証明を使用して、BSC ビーコン クロス ブリッジから他のチェーンに資金を転送しました。
Tether が攻撃者のアドレスをブロックリストに登録するとすぐに、迅速な対応が行われ、BNB チェーンから 7 万ドル以上が凍結され、悪用された資金のほとんどが没収されました。
ハーモニー・ホライズン – 100億ドル
2022 年 100 月、Harmony Horizon Bridge プロジェクトは、ハッカーが XNUMX つのバリデーター秘密鍵のうち XNUMX つを盗んだときに侵害され、詐欺師が XNUMX 億ドル相当のトークンを転送できるようになりました。
このセキュリティ上の問題は、2 of 5 検証スキームを使用したブリッジのセットアップ方法に起因していました。 その結果、攻撃者は、悪意のあるトランザクションを検証するために必要な承認は XNUMX つだけでした。 痕跡を隠すために、攻撃者は Tornado Cash を使用して不正に得た利益の一部を洗浄しました。
このセットアップは最初は安全に見えたかもしれませんが、悪意のある人物にとっては儲かる標的であり、捕らえられた者にとってはブロックチェーンの安全性に関する高価な教訓であることが証明されました.
ラリ - 91 万ドル
リエントラント攻撃は、イーサリアムの初期の頃から存在しています。 彼らは、元の取引が承認または拒否される前に、契約の脆弱性を利用して資金を繰り返し引き出しました。
2022 年 90 月、10 つの分散型金融プラットフォームがこの方法で侵害され、ハッカーは XNUMX 万ドルを盗みました。 Rari Capital の Jack Longarzo 氏は、攻撃者が同社を悪用し、Rari Capital と合併した Fei Protocol がハッカーに XNUMX 万ドルの報奨金を提供したと述べました。
ブロックチェーン セキュリティ会社 BlockSec は、ハッカーが再入可能な脆弱性を利用したと説明しました。
開発者は、Ethereum ブロックチェーンに展開する前にコントラクトを適切にテストおよび監査することで、この種の攻撃を防ぐことができます。
DeFi エクスプロイトから身を守る方法
DeFi プロトコルはますます普及し、複雑になってきており、ハッカーにとって魅力的な標的になっています。 以下は、DeFi エクスプロイトから身を守るための XNUMX つのヒントです。
- 投資する前に、あらゆるプロジェクトで徹底的なデューデリジェンスを実行してください。 プラットフォームのコード、Web サイト、チーム メンバー、およびソーシャル チャネルに危険信号がないか確認してください。
- 信頼できるソースが、やり取りする契約を監査し、監査結果が公開されていることを確認してください。
- XNUMX つの DeFi コントラクトに多額の資金を保管しないでください。攻撃を受けやすくなります。
- 最新のセキュリティ ニュースを入手して、新しいエクスプロイトについて学びましょう。
- DeFi プロトコルとやり取りするすべてのアカウントに対して、適切な認証および承認手順を実装します。
- ウォレットが安全であることを確認し、可能な限り XNUMX 要素認証を使用してください。
- ブロックチェーン上の資金とトランザクションを定期的に監視して、疑わしいアクティビティや不正な引き出しを検出します。
これらのヒントに従うことで、DeFi エクスプロイトから身を守り、分散型金融プロトコルとやり取りするときに資金を安全に保つことができます。 ただし、絶対確実なシステムはないことを覚えておくことも重要であるため、デジタル資産を扱うときは常に細心の注意を払うことをお勧めします。
まとめ
全体として、セキュリティは、暗号通貨と DeFi プロトコルを扱う際の最も重要な考慮事項の XNUMX つです。 残念ながら、業界が成長し続けるにつれて、悪意のある活動のリスクも増大しています。 完全な安全性を保証することは不可能ですが、これらのヒントに従うことで、DeFi エクスプロイトから身を守り、資金を安全に保つことができます.
ブロックチェーン セキュリティの最新の開発状況を常に把握し、すべてのアカウントに対して適切な認証手順を確実に実施することで、デジタル資産の安全性を確保できます。
ソース: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/