TL;DR の内訳
- ハッカーによる暗号通貨やDeFiプロトコルへの攻撃が急増し続けている。
- 2021年には仮想通貨業界への攻撃により70億ドル以上が失われた。
- ハッカーが暗号業界を標的にし続ける理由。
DeFiを攻撃する事件が相次ぎ、業界にとって引き続き懸念材料となっている。
伝えられるところによると、2021 年には 169 件のブロックチェーンハッキングdentが発生し、ハッカーによって 70 億ドル近くの資金が失われました。 DeFiプロトコルの Cream Financeで少なくとも 5 件の暗号通貨ハッキング事件が報告されており、これらのハッカーによる最新の攻撃を受けています。 1億3000万ドル以上が盗まれたと言われている。
これらの代わりに、Cryptopolitan は、ビジネス プロセスとサイバー セキュリティにおけるブロックチェーンの統合に焦点を当てた研究開発会社 HashEx の CEO 兼創設者である Dmitry Mishunin と話をしました。 ドミトリーは、tronた技術的背景と、情報セキュリティ システムの開発における素晴らしい経験を持っています。
以下はインタビューの抜粋です
Q: 最近ユーザーが直面しているハッキングやエクスプロイトの数に驚きましたか?
残念ながら違います。 tracを作成する人がますます増えていることがわかります。 Ethereumと互換性のある唯一のプログラミング言語である Solidity についての十分な理解がありません。 DeFiプロトコルを作成するには、プログラミング言語をよく理解することが必須であり、その微妙な違いを理解していないと、悪用や資金の盗難に簡単につながる可能性があります。
Q: 悪意のあるコードを含むスマートtrac承諾または署名すると、どのようにして資産が盗まれる可能性がありますか?
tracに一定量の ERC-20 トークンを承認すると、それは不可逆的に転送されます。 契約にはtracのない検証済みのソース コードが含まれている場合がありますが、依存関係として未検証のライブラリが含まれている場合もあります。 tracにトークンを承認することは大きなリスクを伴います。
少なくとも 2,700 万ドル相当のユーザーの資金が盗まれた StableMarket プロジェクトもこれに該当しました。 StableMarket プロジェクトの契約にはtrac済みのコードが含まれていましたが、未検証のライブラリを使用してデプロイされていました。 このライブラリは悪意があり、プロトコルに保存されているユーザーのトークンを盗みました。
ユーザーにとってのもう 1 つのリスクは、トークンをアップグレード可能なスマート コントラクトに承認することですtracそのようなコントラクトtracmaticにアップグレードされ、承認されたトークンが盗まれる可能性があります、使用されるトークンの量だけでなく、契約に対するトークンtrac
最大量を承認します これは、単一のトランザクションでガス料金を支払うために行われます。 ユーザーがトークンを契約に預ける場合trac追加でガス料金を支払う必要があります。 しかし、契約が悪意のある行為を行った場合tracウォレットから任意の量のトークンを引き出すことができます。
したがって、最大限のセキュリティを確保するためのベスト プラクティスは、承認金額を常に確認し、trac操作に必要な金額のみを承認することです。
Q: ハッカーはより賢くなっているのでしょうか、それとも仮想通貨ユーザーはサイバーセキュリティ手順に対してあまり慎重になっていないのでしょうか?
どちらの記述も真実です。 ハッカーは、脆弱性を作成して悪用するために、さまざまなプロトコルと並行してフラッシュ ローン プラットフォームを悪用するという点で深刻な進歩を遂げています。 他のプラットフォーム自体はほとんどの場合安全ですが、フラッシュ ローンは構造がより複雑になり、脆弱性がより頻繁に発生します。
このような攻撃は非常に複雑です。
彼らの分析にも多くの時間がかかります。 また、単純なバグを含む貧弱なコードを含むプロジェクトのハッキングも数多くあります。これらのバグは、テストが行われるかコードが適切に監査されていればおそらく除去されるでしょう。 責任の一部はユーザーにもあります。ユーザーの多くは、たとえば冷蔵保存など、リスクを最小限に抑える安全な方法を知っているからです。 しかし、彼らはしばしばそれらを無視し、数倍の ROI をもたらしてくれる機会に頭がおかしくなってしまいます。 場合によっては、単にお金を失ってしまう場合もあります。
Q: ユーザーは、メタマスクや、OpenSea やDeFiなどの関連する DAPP 上で自分の資産をより適切に保護するにはどうすればよいですか?
最善の保護は、すべての資産をホット ウォレットに保存するのではなく、コールド ウォレットに送信することです。コールド ウォレットにはインターネット アクセスがありません。
運用に必要な少量の資産のみをホット ウォレットに保存し、残りはコールド ストレージに保管することが最善です。 それに加えて、ユーザーは標準的なセキュリティ ルールに従う必要があります。ウイルス対策を利用し、電子メール内の疑わしいリンクを開かないようにし、可能な場合は 2 要素認証を使用します。
Q: 業界が成長するにつれて、ハッキングやエクスプロイトはより一般的になると思いますか?
業界が成長し、より多くのプロジェクトが立ち上がるにつれて、より多くのプロジェクトがハッキングのリスクに直面することになります。 すべてのプロジェクトのすべてのバグを排除することはできませんが、ブロックチェーンセキュリティ会社はバグを最小限に抑えることに常に取り組んでいます。 これには、プロジェクトのソース コードの監査だけでなく、バグの発生を完全に防止する、または少なくとも開発の初期段階でバグを発見するのに役立つ分析ツールの開発も含まれます。
Q: HashEx は暗号通貨業界の拡大においてどのような役割を果たしますか?
私たちは、分散型アプリケーションの使用の透明性と安全性について人々を啓発します。 彼らの仕事のロジックは複雑すぎて、平均的なユーザーが理解するには不明確です。 また、分別のある人は、奇跡の場のピノキオのように、理解できないものに自分のお金を預けることはありません。 私たちは複雑な概念を平易な言葉で説明し、人々が認識し避けるべき落とし穴を明らかにし、同様に潜在的な投資家がファンドに関して十分な情報に基づいた意思決定を行えるよう支援します。
しかし、私たちは本来、 DeFiと仮想通貨を中心とした監査法人です。 これは、私たちがスマートtracの監査を数多く行うことで、投資家に経済的な打撃を与える可能性のある高額な間違いから十分に保護されているプロジェクトを投資家がより信頼できるようにすることで、暗号通貨プロジェクトが投資家の信頼を獲得できるよう支援することを意味します。
Q: ランサムウェア、サイバーセキュリティ、頻繁に起こる暗号通貨ハッキングを根絶するための動きについて、G7 とジョー・バイデン米国dentの両方はどう考えていますか?
セキュリティ基準の継続的な改善は、当社の日常的かつ企業理念の一部です。 私たちはトラストレスDeFiスペースに信頼をもたらすことを目指しています。 そして、この問題はDeFiに限らず、あらゆる IT ドメインにおいて重要です。 新しいソフトウェア製品が急速に登場する中、残念ながらサイバーセキュリティの側面には十分な注意が払われておらず、ハッカーが悪用する機会が生じています。 これには主に 2 つの理由があります。1 つは「マウスクリックプログラミング」、もう 1 つは不必要に高額な賃金が提供されている低質の労働力です。
これは急速に成長するITビジネスのマイナス面です。 この弱肉強食の環境では、企業は新製品を提供してお互いに先を行こうとしていますが、多くの場合、重要性にもかかわらずセキュリティ問題に目をつぶっています。 その結果、多くのクライアントが使用する大規模なシステムが、ユーザーの資金の損失につながる可能性のあるバグを抱えたままになることがあります。 場合によっては、これらのバグの影響が大陸全体に及ぶこともあります。
この観点からすれば、政府の介入は完全に正当化されます。 州政府がこれらの問題に関与していなければ、他に誰が貪欲なビジネスマンを取り締まり、賢明な方法でセキュリティ対策とソフトウェア開発に努力を注ぐよう説得できるでしょうか?
人々がハッキングを政府機関に報告し始めれば、プラスの効果が得られるでしょう。 タイムリーな情報は、予備チャネルを利用できるようにすることで、潜在的な故障の影響を最小限に抑えるのに役立ちます(米国東海岸への石油供給の状況は、この慣行の良い例と見なすことができます)。
業界全体で統一されたセキュリティ標準も、部外者ではなく専門家によって開発された場合には効果的です。 現在の DApp 開発の初期段階でも、主要な監査人によってそのような標準が実装されているのが見られます。 このようなプロトコルの統合はすべての人に役立ちます。プログラミングが容易になり、コードがより安全になり、ユーザーの資金も保護されます。
Q: これらのハッキングは、仮想通貨業界への影響について語っています
暗号業界へのフィードバックは、盗まれた資金を管理する試みです。 それは良いことだと思います。 現時点では、仮想通貨を介して現実世界のすべてのアメニティを入手することはできません。 この状況は日々変化していますが、完璧には程遠いです。 したがって、ハッカーは違法に取得した資金を引き出すために、依然として暗号通貨と法定通貨の橋渡しを必要としています。
これは犯罪者をdentできる段階です。 見つかったものが多ければ多いほど、再度同じことを試みようとする人は少なくなります。 東洋の文化において、窃盗のために身体の一部をどのように切り落としていたかを思い返すことができます。 法執行機関によるこのような介入は、仮想通貨業界とその評判に完全に良い影響を与えています。 こうした行動は人々に安心感を与えます。
Q: これらの暗号通貨ハッキングの多くを陰で支えている悪役/プレイヤーについて、他者を阻止するために彼らにどのような制裁を推奨しますか?
以前にも言ったように、私はそのような人々を罰することに大賛成です。 私は、このような行為をさまざまな重大度の金融詐欺とみなし、相応の法的措置を適用するつもりです。 現時点では新たな法律を制定するつもりはありません。
Q: ハッキングのない仮想通貨の世界を実現することはほぼ不可能ですが、仮想通貨の関係者、政策立案者、その他あらゆる人々はどのようにして攻撃を最小限に抑えることができますか?
どの IT ドメインもサイバー脅威なしでは考えられません。 しかし、一般的なビジネスについて話しているとき、私たちが見ているのは氷山の一角であり、全体像ではありません。 このような情報が公になると企業の評判が損なわれる可能性があるため、注目を集めるハッキングが他にもたくさん発生しています。 暗号通貨ではすべてが透明で公に知られるため、マスメディアはこれらのことについてより頻繁に書きます。
サイバーセキュリティは、仮想通貨から法定通貨への出口と入口における規制の枠組み、ユーザー教育、コードをチェックするサイバーセキュリティ チームなどを含む多面的な実践です。この業界はまだ若いため、正しいベクトルに導く絶好の機会となります。開発の。 こうすることで、途中で穴を埋めようとするのではなく、最初からより安全な方法を利用することができます。
