Web3における最大規模の DeFi エクスプロイト：同様のセキュリティ侵害を防ぐ方法

分散型金融（DeFi）プロトコルは DeFi ユーザーに分散型金融サービスを提供し、他の参加者との取引や契約締結を可能にします。DeFiプロトコルは、ユーザーに安全で信頼性の高いプラットフォームを提供することを目指していますが、ここ数年で複数のエクスプロイトが大きな資金損失を引き起こしています。この記事では、最近発生した最も大規模な DeFi エクスプロイトのいくつかについて解説します。.

返還された資金を差し引いた後の Web3 における上位 8 つの暗号通貨 DeFi エクスプロイトは次のとおりです。

ロニンチェーン – 6億ドル

2023年3月は暗号通貨業界にとって波乱に満ちた月となり、Axie Infinity Roninブリッジのハッキング被害額は6億1,200万ドルでトップとなった。.

Ronin ブリッジは、人気のプレイ・トゥ・アーン ゲーム Axie Infinity で使用される Ethereum サイド チェーンです。.

北朝鮮とのつながりが疑われるサイバー犯罪グループ「ラザルス」は、9つのトランザクションバリデーターの秘密鍵にアクセスし、2件の大規模トランザクションを承認し、ウォレットアドレスから資金を移動させることに成功しました。幸いなことに、当局、セキュリティ企業、暗号通貨取引所の協力により、ハッカーがこれらの資金をオープンソースの暗号通貨タンブラー「トルネード cash 」などの取引所に密輸した後、一部の資金を tracすることができました。

ワームホールブリッジ – 3億2300万ドル

2022年2月、暗号資産ハッカーがワームホールのコードを悪用して3億2600万ドル相当の暗号資産を盗み出すという不幸なdent が発生しました。

ワームホールは Solana と Ethereum間のトークンブリッジですが、残念ながら攻撃を防ぐことができませんでした。これは、署名検証をバイパスし、署名の委任チェーンを可能にする、非推奨または廃止された安全でない関数によって可能になりました。.

サイバーセキュリティの専門家は、開発者がすべてのパラメータをチェックする「セキュアコーディングプラクティス」を実践していれば、今回の攻撃を防ぐことができたはずだと示唆している。このチェックによって有効なアドレスの認証が確実に行われ、不正なソースがチェーン上の資産にアクセスするのを防ぐことができたはずだ。.

ビーンズトーク – 1億8100万ドル

2022年4月のある運命の週末、あるハッカーが暗号資産コミュニティを揺るがす攻撃を仕掛けました。分散型金融（DeFi）プロトコルの機能であるフラッシュローンを利用し、ハッカーはBeanstalkステーブルコインプロトコルから1億8,200万ドル相当のETH、BEANステーブルコイン、その他の資産を盗み出しました。.

ハッカーたちは、Beanstalk DAOの緊急コミット機能を利用して、2つの悪意ある提案を提示しました。この機能は、24時間後に実装される前に2/3の投票を必要とします。攻撃者はフラッシュローン技術を用いてトークンの79%を掌握し、両方の提案を承認して計画を成功させました。.

資金はプロトコル内からフラッシュローンの返済に充てられ、残りはウクライナに拠点を置く緊急基金に関連付けられたアドレスに送金されました。この勇敢な行為の犯人は、合計で最大7,600万ドルを盗みました。.

ノマド – 1億5500万ドル

不可解なノマドブリッジのハッキングは、2022年8月1日に発生し、大きなニュースとなりました。攻撃者が脆弱性を悪用し、マルチチェーンクロスブリッジに保管されている1億9000万ドル相当の Ethereumベースの資産を流出させたため、多くのブロックチェーン愛好家に衝撃が走りました。.

ハッカーたちは迅速かつ猛烈な動きを見せ、数百のウォレットが関与する960件の取引が行われ、ブリッジのロックされた総資産額（TVL）から1,175件の引き出しが行われた。すべてわずか数時間の出来事だった。

このハッキングの不可解な点は、ブリッジファンドをハッキングするためにユーザーがしなければならなかったのは、元のハッカーのトランザクション呼び出しデータをコピーして貼り付け、元のアドレスを個人のアドレスに置き換えるだけで、トランザクションが完了するということだった。.

このハッキングは分散型金融（DeFi）コミュニティ全体に衝撃を与え、ハッカーがコードの抜け穴を悪用する際に常に一歩先を進んでいることを証明しました。Nomadブリッジは、安全なコーディング手法の重要性を示す好例であり、セキュリティが今日のブロックチェーンプロジェクトにとって依然として課題であり続ける理由を改めて示しています。.

CREAMファイナンス – 1億3,080万ドル

2021年10月にCREAMが受けた攻撃は、フラッシュローン強盗事件としては最大規模でしたが、決して単発的なdentではありませんでした。フラッシュローン攻撃は、流動性資金の「フラッシュローン」の利用、借入、そしてこの迅速な資金調達の不履行をすべて単一の取引の中で行います。.

価格計算の誤りを悪用することで、ハッカーは借入金から短期間で利益を得ることができます。例えば、CREAMのケースでは、2つの異なるアドレスがyUSDVaultにアクセスし、大量のcrYUSDトークンを発行しました。彼らは脆弱性を悪用し、これらの株式の価値を2倍にしました。彼らは1億3000万ドル相当の資金を確保することに成功しましたが、利用可能な約10億ドルの担保は、この金額をはるかに上回る金額を調達できる可能性があります。. 

フラッシュローン攻撃はますます蔓延しており、コミュニティは将来的にさらなるセキュリティ侵害をどのように防ぐことができるかについて質問する必要があります。.

BSCトークンハブ – 1億2,700万ドル

2022年10月、ハッカーがBSCビーコンクロスブリッジコードの重大な脆弱性を悪用し、総額5億7000万ドル相当の暗号資産を盗み出しました。.

BSc ビーコン チェーン (トークン ハブとも呼ばれます) は、 BNB ビーコン チェーン (BEP2) と BNB チェーン (BEP20/BSC) を接続するチェーン間ブリッジです。.

ハッカーは、取引などのデータの正当性を確認するための暗号証明「マークル証明」を偽造しました。そして、この偽のマークル証明を用いて、BSCビーコンクロスブリッジから他のチェーンへ資金を送金しました。.

Tether が攻撃者のアドレスをブロックリストに登録するとすぐに、 BNB チェーンから移動された 700 万ドル以上が凍結され、不正に得た資金の大半が押収されました。.

ハーモニーホライゾン – 1億ドル

2022年6月、ハーモニーホライズンブリッジプロジェクトは、ハッカーが5つのバリデーター秘密鍵のうち2つを盗んだことで侵害を受け、詐欺師が1億ドル相当のトークンを転送できるようになりました。.

このセキュリティ問題は、ブリッジの設定方法、つまり2/5の認証方式に起因していました。その結果、攻撃者は悪意のあるトランザクションを認証するのに2回の承認のみを必要としました。攻撃者は、その tracを隠すために、不正に得た利益の一部をTornado Cash で洗浄（ロンダリング）しました。. 

この設定は当初は安全に見えたかもしれないが、悪意のある人物にとっては格好の標的となり、捕まった人たちはブロックチェーンの安全性について高くつく教訓を得ることになった。.

ラリ - 9100万ドル

再入攻撃は Ethereumの初期の頃から存在していました。tracの脆弱性を悪用し、元のトランザクションが承認または拒否される前に繰り返し資金を引き出す攻撃です。.

2022年5月、2つの分散型金融プラットフォームが同様の方法でハッキングされ、ハッカーに9,000万ドルが盗まれました。Rari Capitalのジャック・ロンガルゾ氏は、攻撃者が同社を悪用したと述べ、Rari Capitalと合併したFei Protocolはハッカーに1,000万ドルの懸賞金を提示しました。.

ブロックチェーンセキュリティ企業BlockSecは、ハッカーらが再入可能性の脆弱性を利用したと説明した。. 

開発者は、 Ethereum ブロックチェーンに展開する前に契約を適切にtracおよび監査することで、このような種類の攻撃を防ぐことができます。.

DeFi 悪用から身を守る方法

DeFi プロトコルはますます普及し、複雑化しているため、ハッカーにとってtrac的な標的となっています。DeFi DeFi 脆弱性攻撃から身を守るための7つのヒントをご紹介します。

1. 投資する前に、あらゆるプロジェクトについて徹底的なデューデリジェンスを実施してください。プラットフォームのコード、ウェブサイト、チームメンバー、ソーシャルチャンネルに危険信号がないか確認してください。.
2. 信頼できるソースがやり取りするtracを監査し、監査結果が公開されていることを確認します。.
3. 1 つの DeFitracに大量の資金を保管しないでください。攻撃を受けやすくなります。.
4. 最新のセキュリティ ニュースを常にチェックして、新たな脆弱性について学んでください。.
5. DeFi プロトコルと対話するすべてのアカウントに対して適切な認証および承認手順を実装します。.
6. ウォレットが安全であることを確認し、可能な場合は常に 2 要素認証を使用してください。.
7. ブロックチェーン上の資金と取引を定期的に監視し、疑わしいアクティビティや不正な引き出しを検出します。.

これらのヒントに従うことで、 DeFi 脆弱性から身を守り、分散型金融プロトコルを利用する際に資金を安全に保つことができます。ただし、どんなシステムも絶対に安全ではないことを忘れてはなりません。デジタル資産を扱う際は、常に細心の注意を払うことがベストプラクティスです。.

結論

全体として、暗号通貨や DeFi プロトコルを扱う上で、セキュリティは最も重要な考慮事項の一つです。残念ながら、業界が成長を続けるにつれて、悪意のある活動のリスクも高まっています。完全な安全を保証することは不可能ですが、これらのヒントに従うことで、 DeFi 脆弱性から身を守り、資金を安全に保つことができます。. 

ブロックチェーン セキュリティの最新動向を常に把握し、すべてのアカウントに適切な認証手順が実施されていることを確認することで、デジタル資産の安全性を確保できます。.