This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2022年の8つのDeFiセキュリティインシデントの分析:43億ドルの損失からの教訓と教訓
DeFiセキュリティレビュー:2022年の主要イベントの分析と啓発
2022年のブロックチェーンセキュリティ事件が頻発し、統計によると300件以上が発生し、金額は43億ドルに達しました。本稿では、8件の典型的なケースを詳細に分析します。これらのケースの損失額は大多数が1億ドルを超えており、重要な参考になります。
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー
浪人橋事件
2022年3月23日、Axie InfinityのサイドチェーンRonin Networkが侵害され、17.36万枚のETHと2550万USDを失い、合計約5.9億ドルに達しました。攻撃者は北朝鮮のハッカー組織Lazarusである疑いがあります。
攻撃者はソーシャルエンジニアリング手法を用いてSky Mavis社の従業員に接触し、マルウェアを植え付けた後、5つの検証ノードを制御し、最終的に攻撃を完了しました。これは、会社の従業員の安全意識が薄弱であり、内部の安全システムに欠陥があることを暴露しています。
この事件は典型的なAPT(高度な持続的脅威)攻撃に属します。従来のハッカー集団や国家レベルの勢力は、経済的利益を直接得るためにブロックチェーンプロジェクトへの攻撃に移行し始めています。
ワームホール事件
Wormholeクロスチェーンブリッジが攻撃され、約12万枚のETHが損失しました。根本的な原因は、Solana側のコアコントラクトの署名検証コードに欠陥があり、攻撃者が「ガーディアン」メッセージを偽造して包装ETHを鋳造できることです。
これは主にコードのレベルでの問題であり、いくつかの廃止された関数が使用されています。開発者は最新のバージョンを使用するように迅速に更新し、同様の問題を避けるべきです。
ノマド橋事件
クロスチェーンプロトコルNomadブリッジ契約の初期化時に信頼できるルートが誤って設定され、変更時に旧ルートが無効にならなかったため、攻撃者が任意のメッセージを構築して資金を引き出すことができ、損失は1億9000万ドルを超えました。
これは典型的な契約初期化エラーのケースです。一度発見されると、誰でも有効な取引を再実行して利益を得ることができます。大量のMEVボットが競い合い、これを「金を奪い合う戦い」に変えています。
オープンソースコードは透明ですが、攻撃者が脆弱性を見つけやすくする側面もあります。プロジェクトチームはコード監査を強化し、初期化などの重要なステップの正確性を確保すべきです。
豆の木のイベント
アルゴリズム安定コインプロジェクトBeanstalkがフラッシュローン攻撃を受け、約1.82億ドルの損失を被りました。主な原因は、提案の投票と実行の間に時間の間隔がなく、攻撃者が悪意のある提案を即座に実行できたためです。
攻撃者は事前にトークンを購入して提案権を得て、フラッシュローンを通じて大量の投票権を取得し、悪意のある提案を通じてアービトラージを実行します。これは純粋な分散型ガバナンスのリスクを浮き彫りにしています。
プロジェクトは、提案の審査メカニズム、投票のロック期間、実行のタイムロックなどの措置を設定し、同様のリスクを防ぐべきです。
ウィンターミュート事件
マーケットメーカーのWintermuteがオープンソースツールを使用して魅力的なアドレスを生成したため、契約のオーナーの秘密鍵がハッキングされ、約1.6億ドルの損失が発生しました。
オープンソースツールを使用する際は、潜在的なリスクを十分に評価する必要があります。重要なアドレスについては、より安全な生成方法を採用し、信頼できない第三者ツールの使用を避けるべきです。
ハーモニーブリッジイベント
HarmonyのクロスチェーンブリッジHorizonが攻撃を受け、損失は1億ドルを超えました。分析によると、北朝鮮のハッカー組織によるものかもしれず、攻撃手法はRonin Bridgeに類似しています。
クロスチェーンブリッジは異なるチェーンを接続する重要なインフラとして、常にハッカーの主要な攻撃対象となっています。プロジェクトチームはセキュリティ対策を強化し、攻撃のハードルを上げるべきです。
Ankrイベント
Ankr契約のオーナーの秘密鍵が漏洩し、ハッカーが大量のトークンを鋳造し、500万USDCを現金化しました。その後、アービトラージャーがオラクルの遅延を利用して1700万ドルのアービトラージを行いました。
これはAnkr内部のセキュリティ管理に深刻な問題が存在することを露呈しています: 重要なプライベートキーが個人によって管理されており、従業員が退職した後も使用可能です。プロジェクトは、完全なキー管理制度を確立し、マルチシグなどのより安全なメカニズムを採用すべきです。
マンゴー事件
攻撃者はMangoプラットフォームの小規模通貨の流動性不足の脆弱性を利用し、価格を操作して1.15億ドルを得ました。これは、セキュリティの脆弱性というよりもビジネスモデルの脆弱性に属します。
プロジェクト側は様々な極端なシナリオを十分に考慮し、リスク管理措置を整えるべきです。ユーザーがプロジェクトに参加する際も、リスクを全面的に評価し、利益だけを見て安全を無視してはいけません。
つまり、Web3エコシステムがますます複雑になるにつれて、安全の脅威も多様化しています。プロジェクト側は完璧なセキュリティシステムを構築し、ユーザーもセキュリティ意識を高め、業界の健全な発展を共に維持する必要があります。
! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー