DeFiセキュリティの詳細な分析:2022年の主なイベントのレビュー

2022年、Web3業界は多くの重大なセキュリティ事件に遭遇し、金額は最大430億ドルに達しました。本稿では、これらの事件の中から8つの典型的なケースを深く分析します。これらのケースは大多数が1億ドルを超える損失を含んでいます。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー

ロニンブリッジ事件

2022年3月、Axie InfinityのサイドチェーンRonin Networkが侵害され、17.36万枚のETHと2550万USD、総額約6億ドルが失われました。調査によると、北朝鮮のハッカー組織Lazarusがこの事件に関与しています。

攻撃者は社会工学的手段を用いて内部の従業員の信頼を得ることで、システムに侵入し、複数の検証ノードを制御しました。この高度な持続的脅威(APT)の攻撃手法は、従来のセキュリティ分野では一般的であり、現在ではブロックチェーンプロジェクトにも現れ始めています。

この事件は、プロジェクトチームが従業員の安全意識と内部安全システムに重大な欠陥があることを暴露しました。

ワームホール事件

Wormholeクロスチェーンブリッジは、Solana側のコントラクトの署名検証コードのエラーにより攻撃を受け、約12万ETHの損失を被りました。攻撃者は廃止された関数の脆弱性を利用しました。

これは、開発者が最新のコードベースを使用し、既知の問題のある古いバージョンの機能を避けるべきであることを示しています。

ノマドブリッジ事件

Nomadクロスチェーンブリッジは初期設定の問題により攻撃を受け、約1.9億ドルの損失を被った。攻撃者は有効な取引をリプレイすることで資金を引き出した。

この出来事は「お金を奪い合う戦争」に変わり、複数のアドレスが参加しました。部分的に資金は回収されましたが、大部分はまだ見つかっていません。これはスマートコントラクトのオープンソースがもたらす両刃の剣の効果を浮き彫りにしています。

豆の木のイベント

アルゴリズム安定コインプロジェクトBeanstalkがフラッシュローン攻撃を受け、約1.82億ドルの損失を被りました。攻撃者はプロジェクトのガバナンスメカニズムの脆弱性を利用し、悪意のある提案を通じて攻撃を実行しました。

これは、非中央集権的なガバナンスに存在するリスクを反映しており、プロジェクトチームは提案の審査、投票メカニズム、実行タイムロックなどの面でより慎重な設計を行う必要があります。

ウィンターミュート事件

マーケットメイカーのWintermuteは、脆弱性のあるアドレス生成ツールProfanityを使用したために攻撃を受けました。攻撃者は契約所有者のアドレスの秘密鍵を成功裏に解読しました。

これは、オープンソースツールを使用する際には慎重になり、十分なセキュリティ評価を行う必要があることを思い出させます。

ハーモニーブリッジイベント

HarmonyのクロスチェーンブリッジHorizonが1億ドル以上の損失を被り、疑わしくも北朝鮮のハッカー組織によるものとされています。具体的な詳細は公開されていませんが、攻撃手法はRonin Bridge事件に似ている可能性があります。

Ankr イベント

Ankrは内部の従業員による悪事に遭遇し、大量のトークンが無から鋳造されました。これはプロジェクトの権限管理と内部統制における重大な欠陥を露呈しています。

マンゴー事件

Mango取引所は市場操作攻撃に遭い、約1.15億ドルの損失を被りました。攻撃者はプラットフォームのビジネスモデルの隙間を利用し、小規模なトークンの価格を操作して利益を得ました。

これはプロジェクト側がさまざまな極端な状況を十分に考慮する必要があることを示しており、ユーザーも潜在的なビジネスリスクに警戒する必要があります。

総じて、2022年のこれらの出来事は、DeFiプロジェクトがコードの安全性、権限管理、ガバナンスメカニズムなどの多くの面でまだ不十分であることを反映しています。プロジェクト側とユーザーはともに安全意識を高め、より厳格な防止策を講じる必要があります。

! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー