分散型金融(DeFi)業界は、過去XNUMXか月でハッカーにXNUMX億ドル以上を失い、状況は制御不能になっているようです。
最新の統計によると、約1.6億ドル 暗号通貨がDeFiプラットフォームから盗まれました さらに、盗まれたすべての暗号の2022%以上が、ハッキングされたDeFiプロトコルからのものです。
これらの数字は、無視された場合に長期にわたって続く可能性が高い悲惨な状況を浮き彫りにします。
ハッカーがDeFiプラットフォームを好む理由
近年、ハッカーはDeFiシステムを標的とした運用を強化しています。 これらのグループがこのセクターに引き付けられる主な理由のXNUMXつは、分散型金融プラットフォームが保有する膨大な量の資金です。 トップDeFiプラットフォームは、毎月数十億ドルのトランザクションを処理します。 そのため、攻撃を成功させることができるハッカーにとっては、報酬が高くなります。
ほとんどのDeFiプロトコルコードがオープンソースであるという事実により、サイバーセキュリティの脅威がさらに発生しやすくなります。
これは、オープンソースプログラムが一般の人々による精査に利用可能であり、インターネットに接続している人なら誰でも監査できるためです。 そのため、エクスプロイトを簡単に探すことができます。 この固有の特性により、ハッカーはDeFiアプリケーションの整合性の問題を分析し、強盗を事前に計画することができます。
一部のDeFi開発者は、認定されたサイバーセキュリティ会社が発行したプラットフォームセキュリティ監査レポートを意図的に無視することで、この状況に貢献しています。 一部の開発チームは、広範なセキュリティ分析を行わずにDeFiプロジェクトを立ち上げています。 これにより、コーディングの欠陥が発生する可能性が高くなります。
DeFiセキュリティに関しては、鎧のもうXNUMXつのへこみは、エコシステムの相互接続性です。 DeFiプラットフォームは通常、利便性と汎用性を強化するクロスブリッジを使用して相互接続されます。
クロスブリッジはユーザーエクスペリエンスを向上させますが、これらの重要なコードスニペットは、分散型台帳の巨大なネットワークをさまざまなレベルのセキュリティで接続します。 このマルチプレックス構成により、DeFiハッカーは複数のプラットフォームの機能を利用して、特定のプラットフォームへの攻撃を増幅することができます。 また、複数の分散型ネットワーク間で、得られなかった資金をシームレスに迅速に転送することもできます。
前述のリスクに加えて、DeFiプラットフォームはインサイダーによる妨害を受けやすい傾向があります。
セキュリティ違反
ハッカーは、脆弱なDeFi境界システムに侵入するためにさまざまな手法を使用しています。
セキュリティ違反は、DeFiセクターでよく発生します。 従った 2022年の連鎖分析へ レポートによると、過去35年間に盗まれたすべての暗号の約XNUMX%は、セキュリティ違反に起因しています。
それらの多くは、コードの誤りが原因で発生します。 ハッカーは通常、これらのタイプの攻撃を実行できるようにする体系的なコーディングエラーを見つけることに多大なリソースを費やし、通常、高度なバグトラッカーツールを利用してこれを支援します。
脅威アクターが脆弱なプラットフォームを探すために使用するもうXNUMXつの一般的な戦術は、パッチが適用されていないセキュリティ問題がすでに公開されているがまだ実装されていないネットワークを追跡することです。
最近のワームホールDeFiハッキング攻撃の背後にいるハッカー 約325億XNUMX万ドルの損失 デジタルトークンでは、この戦略を使用したと報告されています。 コードコミットの分析により、プラットフォームのGitHubリポジトリにアップロードされた脆弱性パッチが、パッチがデプロイされる前に悪用されたことが明らかになりました。
この間違いにより、侵入者はシステム署名を偽造することができ、120,000億325万ドル相当の250枚のラップされたエーテル(wETH)コインを鋳造することができました。 その後、ハッカーはwETHをEtherで約XNUMX億XNUMX万ドルで販売しました(ETH)。 交換されたイーサリアムコインは、プラットフォームの決済準備金から得られたものであり、それによって損失につながりました。
ワームホールサービスは、チェーン間のブリッジとして機能します。 これにより、ユーザーは、チェーン全体でラップされたトークンに預け入れられた暗号通貨を使うことができます。 これは、ワームホールでラップされたトークンを作成することで実現されます。これにより、デポジットされたコインを直接交換または変換する必要がなくなります。
最近: ブロックチェーンアーカイブが戦時中の履歴の記録方法をどのように変えることができるか
フラッシュローン攻撃
フラッシュローンは、信用調査を必要としない無担保のDeFiローンです。 それらは投資家とトレーダーが即座に資金を借りることを可能にします。
便利なため、フラッシュローンは通常、接続されたDeFiエコシステムで裁定取引の機会を利用するために使用されます。
フラッシュローン攻撃では、人為的な価格の不一致を生み出す価格操作技術を使用して、貸付プロトコルが標的にされ、侵害されます。 これにより、悪意のある人物が大幅に割引されたレートで資産を購入できるようになります。 ほとんどのフラッシュローン攻撃は、実行に数分、場合によっては数秒かかり、いくつかの相互リンクされたDeFiプロトコルが関与します。
攻撃者が資産価格を操作するXNUMXつの方法は、攻撃可能な価格オラクルをターゲットにすることです。 たとえば、DeFi価格オラクルは、評判の良い取引所や取引所などの外部ソースからレートを引き出します。 たとえば、ハッカーはソースサイトを操作して、オラクルをだまし、ターゲット資産レートの値を一時的に下げて、より広い市場と比較してより低い価格で取引できるようにすることができます。
次に、攻撃者は資産をデフレートレートで購入し、変動相場制で迅速に売却します。 フラッシュローンを通じて取得したレバレッジトークンを使用すると、利益を拡大することができます。
一部の攻撃者は、価格を操作するだけでなく、DeFi投票プロセスを乗っ取ってフラッシュローン攻撃を実行することができました。 ごく最近、 BeanstalkDeFiは182億XNUMX万ドルの損失を被りました 攻撃者がガバナンスシステムの欠点を利用した後。
Beanstalk開発チームには、参加者がプラットフォームの変更に投票できるガバナンスメカニズムがコア機能として含まれていました。 この設定は、民主主義を支持するため、DeFi業界で人気があります。 プラットフォームの議決権は、保有するネイティブトークンの価値に比例するように設定されました。
侵害の分析により、攻撃者はAave DeFiプロトコルからフラッシュローンを取得して、約1億ドルの資産を取得したことが明らかになりました。 これにより、投票ガバナンスシステムで67%の過半数を獲得し、自分の住所への資産の譲渡を一方的に承認することができました。 加害者は、フラッシュローンと関連する追加料金を返済した後、デジタル通貨で約80万ドルを稼ぎ出しました。
Chainalysisによると、360年にフラッシュローンを使用してDeFiプラットフォームから約2021億XNUMX万ドル相当の暗号コインが盗まれました。
盗まれた暗号はどこに行きますか?
長い間、ハッカーは一元化された取引所を使用して盗まれた資金を洗い流してきましたが、サイバー犯罪者はそれらをDeFiプラットフォームに捨て始めています。 2021年、サイバー犯罪者 送信 すべての違法な暗号通貨からDeFiネットワークへの約17%。これは2年の2020%から大幅に増加しています。
市場の専門家は、DeFiプロトコルへの移行は、より厳格なKnow Your Customer(KYC)およびAnti-Money Laundering(AML)プロセスのより広範な実装によるものであると理論付けています。 この手順は、サイバー犯罪者が求める匿名性を損なうものです。 ほとんどのDeFiプラットフォームは、これらの重要なプロセスを放棄しています。
当局との協力
一元化された取引所も、今まで以上に、サイバー犯罪に対抗するために当局と協力しています。 XNUMX月、Binanceエクスチェンジは 盗まれた暗号通貨で5.8万ドルの回収 これは、AxieInfinityから盗まれた625億XNUMX万ドルの隠し場所の一部でした。 お金は当初トルネードキャッシュに送られていました。
Tornado Cashは、取引先の住所を追跡するために使用されるチェーン上のリンクを断片化することにより、資金の出所をわかりにくくするトークン匿名化サービスです。
ただし、盗まれた資金の一部は、ブロックチェーン分析会社によってBinanceまで追跡されました。 戦利品は取引所の86の住所で開催されました。
事件の余波で、米国財務省のスポークスパーソンは、ブラックリストに登録された暗号アドレスからのお金を処理する暗号取引所が制裁のリスクを負うことを強調しました。
Tornado Cashはまた、盗まれた資金のネットワークへの転送を停止するために当局と協力しているようです。 同社は、禁輸された財布を特定してブロックするのに役立つ監視ツールを実装すると述べています。
いくつかの進歩があるようです 当局によるニックの入った資産の差し押さえ。 今年初め、米国司法省は3.6億ドルの暗号通貨の差し押さえを発表し、資金の洗濯に関与した4.5人を逮捕しました。 このお金は、2016年にビットフィネックスの暗号通貨取引所から集められたXNUMX億ドルの一部でした。
暗号通貨の発作は、これまでに記録された中で最大のもののXNUMXつでした。
DeFiのCEOが現在の状況について話す
今週初めにCointelegraphに独占的に話したところ、分散型金融アプリケーション向けに最適化された相互運用可能なスマートコントラクトプラットフォームであるInjectiveLabsのCEO兼共同創設者であるEricChenは、問題が収まることが期待できると述べました。
「より堅牢なセキュリティ基準が導入されるにつれて、潮流は沈静化し続けています。 適切なテストとさらなるセキュリティインフラストラクチャが導入されれば、DeFiプロジェクトは将来の一般的なエクスプロイトリスクを防ぐことができます」と彼は言いました。
ハッキング攻撃を回避するために彼のネットワークが取っている対策について、Chenは概要を提供しました。
「インジェクティブは、従来のイーサリアム仮想マシンベースのDeFiアプリケーションと比較して、より厳密に定義されたアプリケーション中心のセキュリティモデルを保証します。 ブロックチェーンの設計とコアモジュールのロジックは、リエントラント、最大抽出可能価値、フラッシュローンなどの一般的なエクスプロイトからInjectiveを保護します。 Injectiveの上に構築されたアプリケーションは、コンセンサスレベルでブロックチェーンに実装されているセキュリティ対策の恩恵を受けることができます。」
最近: 世界的な採用の高まりは、小売で使用するために暗号を完全に位置付けています
Cointelegraphは、ハッキングの発生率の増加について、Allnodes(非管理型のホスティングおよびステーキングプラットフォーム)のCEO兼創設者であるKonstantinBoyko-Romanovskyと話す機会もありました。 トレンドの背後にある主な触媒について、彼は言った:
「間違いなく、DeFiハッキングのリスクを下げるには時間がかかるでしょう。 ただし、一晩で発生する可能性はほとんどありません。 DeFiには長引くレース感覚があります。 プロジェクトの創設者を含め、誰もが急いでいるようです。 市場は、プログラマーがコードを書く速度よりも速く進化しています。 あらゆる予防策を講じる優秀なプレーヤーは少数派です。」
彼はまた、問題に対抗するのに役立つ手順についての洞察を提供しました。
「コードは改善され、スマートコントラクトは徹底的に監査される必要があります。それは確かです。 さらに、ユーザーは常にオンラインでの慎重なエチケットを思い出させる必要があります。 欠陥を特定することは、魅力的にインセンティブを与えることができます。 これにより、特定のプロトコル全体でより健康的な行動が促進される可能性があります。」
DeFi業界は、ハッキング攻撃を阻止するのに苦労しています。 しかし、当局からの監視を強化し、取引所間の協力を強化することで、惨劇を抑えることができると期待されています。
出典:https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide