DeFiセキュリティインシデントレビュー:2022年の主なケーススタディ

2022年のブロックチェーン業界では、300件以上のセキュリティ事件が発生し、金額は最大で430億ドルに達しました。本記事では、1億ドル以上の損失が関与している典型的な8つのケースを詳細に分析します。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー

浪人橋事件

2022年3月23日、Axie InfinityのサイドチェーンRonin Networkが侵害され、173,600ETHと2,550万ドルの損失が発生しました。報告によると、北朝鮮のハッカー組織Lazarusがこの事件に関連しています。ハッカーはソーシャルエンジニアリング手法を用いてシステムに侵入し、最終的に9つの検証ノードのうち5つを制御し、攻撃を成功させました。

この事件は、会社の従業員のセキュリティ意識が低く、内部のセキュリティシステムに欠陥があることを暴露しました。また、従来のハッカー組織や国家レベルの勢力が徐々にブロックチェーンプロジェクトにターゲットを移し、直接的に経済的利益を得ようとしていることを示しています。

ワームホール事件

WormholeクロスチェーンブリッジのSolana側のコアコントラクトに署名検証のエラーが存在し、攻撃者が「ガーディアン」メッセージを偽造してWormhole包装のETHを鋳造することを許可し、約12万枚のETHの損失が発生しました。

この問題は主にコードレベルにあり、廃止された関数がいくつか使用されています。開発者は最新バージョンへの更新を適時行い、同様の問題を避けるべきです。

ノマド橋事件

NomadクロスチェーンブリッジReplica契約の初期化時に信頼できるルートが0x0に設定され、信頼できるルートを変更する際に旧ルートが無効にならなかったため、攻撃者は任意のメッセージを構築して資金を盗むことができ、損失は1.9億ドルを超えました。

これは典型的な初期設定の問題です。ハッカーは有効な取引をリプレイすることでロックされた資金を抽出します。多くのMEVロボットが参加し、イベントは「金を奪う」競争に発展します。

これは公開ソースコードの両刃の剣の効果を反映しており、監査を容易にする一方で、ハッカーが分析しやすくもなります。一度脆弱性が発見されると、プロジェクトは致命的な打撃を受ける可能性があります。

豆の木のイベント

アルゴリズムステーブルコインプロジェクトBeanstalkがフラッシュローン攻撃を受け、約1.82億ドルの損失を被りました。攻撃者はフラッシュローンを通じて大量のトークンを取得し、悪意のある提案を投票で通過させ、即座に利益を上げました。

このケースは、分散型ガバナンスのリスクを暴露しています。プロジェクトは、提案審査メカニズム、投票権の配分、タイムロックなどの安全対策を検討する必要があります。

! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー

ウィンターミュートイベント

マーケットメイカーのWintermuteは、脆弱性のある素晴らしい番号生成ツールを使用して契約アドレスを作成し、その結果、契約のオーナーの秘密鍵がハッキングされ、資金が移動されました。

これは、オープンソースツールを使用する際には慎重であるべきであり、十分なセキュリティ評価を行うことが望ましいことを思い出させます。

ハーモニーブリッジイベント

HarmonyクロスチェーンブリッジHorizonは1億ドル以上の損失を被ったとされており、プライベートキーの漏洩が原因とされています。分析によると、これも北朝鮮のハッカー組織によるものかもしれません。

北朝鮮のハッカーは近年、暗号通貨業界を頻繁に標的にして攻撃を仕掛けており、多くの企業が彼らのフィッシング攻撃を受けています。

Ankrイベント

Ankrのステーキング契約が元従業員によって秘密鍵で制御され、大量のトークンが悪意を持って鋳造されました。これはプロジェクトの権限管理と内部セキュリティシステムに深刻な問題が存在することを暴露しています。

マンゴーイベント

攻撃者はMango取引プラットフォームのビジネスモデルの脆弱性を利用し、時価総額の小さいトークンの価格を操作して1億ドル以上の利益を上げました。

これはプロジェクトチームに対して、さまざまな極端なシナリオを考慮してテストを行うように促すものです。ユーザーがプロジェクトに参加する際は、ビジネスモデルに悪用される可能性のある脆弱性が存在しないかにも注意を払う必要があります。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー