This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2022年の分散型金融における8大セキュリティ事件の振り返り:損失は430億ドルを超え、クロスチェーンブリッジが主要な被害を受ける
2022年分散型金融分野の重大なセキュリティ事件の回顧と分析
2022年にブロックチェーンのセキュリティ事件が頻発し、統計によると年間で300件以上が発生し、関わる金額は430億ドルに達しました。本稿では8つの典型的なケースを重点的に分析します。これらのケースはほとんどが1億ドルを超える損失を被っており、非常に代表的です。
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー
ロニンブリッジ
2022年3月、NFTゲームAxie InfinityのサイドチェーンRonin Networkが侵害され、17.36万枚のETHと2550万ドルが失われ、総額約6.25億ドルに達しました。調査によると、北朝鮮のハッカー組織Lazarusがこの事件に関与しているとのことです。
攻撃者はソーシャルエンジニアリング手法を用いて、Sky Mavis社の従業員を騙して悪意のあるソフトウェアを含む偽の入学通知をダウンロードさせ、システムに侵入し、5つの検証ノードを制御しました。最終的に攻撃を完了しました。
この事件は、プロジェクト側の従業員の安全意識と内部の安全システムの不足を暴露しました。また、従来のハッカーグループが徐々に攻撃対象をブロックチェーンプロジェクトにシフトしていることも示しています。
ワームホール
Wormholeクロスチェーンブリッジが攻撃を受け、約12万枚のETHが損失しました。問題はSolana側のコア契約の署名検証コードにエラーがあり、攻撃者が「ガーディアン」メッセージを偽造してラップされたETHをミントすることを可能にしていました。
この脆弱性は、いくつかの廃止された関数を使用したことが主な原因です。開発者は常に最新のプログラミング言語とツールを使用することをお勧めします。これにより、同様の問題を避けることができます。
ノマドブリッジ
クロスチェーンプロトコルNomadブリッジが攻撃を受け、損失は1.9億ドルを超えました。原因は、初期化時に信頼できるルートが誤って設定され、古いルートが無効になっていなかったため、攻撃者が任意のメッセージを構築して資金を引き出すことができたことです。
ハッカーはこの脆弱性を利用して、構築された取引データを繰り返し送信し、ほぼすべてのロックされた資金を抜き取った。約41のアドレスが1.52億ドルを得た、その中にはMEVロボット、他のハッカー、そしていくつかのホワイトハットハッカーが含まれている。
このケースは、スマートコントラクトの初期設定の重要性と、公開ブロックチェーンエコシステムにおけるさまざまな参加者の複雑さを浮き彫りにしています。
ビーンスタック
アルゴリズム安定コインプロジェクトBeanstalk Farmsがフラッシュローン攻撃を受け、約1.82億ドルの損失を被りました。攻撃者は8000万ドル以上の利益を得ました。
攻撃はプロジェクトのガバナンスメカニズムの脆弱性を利用しました - 提案の投票と実行の間に時間的な間隔がありません。攻撃者はフラッシュローンを通じて大量の投票権を獲得し、悪意のある提案を通じて、直接的にアービトラージ操作を実行しました。
この事件は、純粋な分散型ガバナンスメカニズムに存在する可能性のあるリスク、例えば提案の審査、投票の重み、タイムロックなどが慎重に設計される必要があることを明らかにしました。
ウィンターミュート
マーケットメイカーのWintermuteは、脆弱性のあるアドレス生成ツールProfanityを使用したため、秘密鍵がハッキングされ、約1.6億ドルの損失を被った。
このケースは、オープンソースツールを使用する際には慎重になる必要があり、十分なセキュリティ評価を行うことが望ましいことを警告しています。また、「美しい番号」アドレスを追求することが安全上のリスクをもたらす可能性があることを反映しています。
ハーモニーブリッジ
HarmonyのクロスチェーンブリッジHorizonが攻撃され、1億ドル以上の損失が発生しました。分析によると、北朝鮮のハッカーグループLazarus Groupによるものと疑われています。
攻撃手法はRonin Bridge事件に類似しており、再び暗号通貨業界に対する国家レベルのハッカーの脅威がますます深刻化していることを浮き彫りにしています。
アンクル
Ankrは内部の関係者による悪事に遭遇し、10兆枚のaBNBcが不正に鋳造されました。攻撃者は500万USDCを現金化し、さらにアービトラージトレーダーが1700万ドルの利益を上げました。
この事件は、プロジェクトにおける権限管理や秘密鍵の保管などの深刻な欠陥を暴露し、内部セキュリティシステムの強化の重要性を浮き彫りにしました。
マンゴー
去中心化取引所Mango Marketsが市場操縦攻撃を受け、約1.15億ドルの損失を被りました。攻撃者はプラットフォームの永続契約とオラクルを利用し、小型時価総額トークンMNGOの価格を引き上げて利益を得ました。
この事例は、DeFiプロジェクトがビジネスモデルを設計する際に、特に小型時価総額トークンのリスク管理についてさまざまな極端な状況を考慮する必要があることを示しています。
総じて、2022年は分散型金融のセキュリティ事件が頻発し、スマートコントラクト、クロスチェーンブリッジ、ガバナンスメカニズムなど多方面の安全リスクが露呈しました。プロジェクト側は安全意識を高め、リスク管理体系を整える必要があります; ユーザーは慎重に参加し、リスクを十分に理解すべきです。
! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー