CoinbaseのネイティブブロックチェーンとイーサリアムベースのネットワークBaseの両方に組み込まれた分散型取引所(DEX)であるRocketSwapは、昨日の朝、その分散型金融(DeFi)ファーム内のquot;anomaly"に関してXに投稿した。同プラットフォームはハッキングの被害に遭い、86万5,000ドルを超える損失を被った。
この事件は、先週メインネットのローンチをきっかけに大きな注目を集めたイーサリアムのレイヤー2ソリューションであるBaseに影を落としている。Coinbaseによってインキュベートされた革新的なプロジェクトとして注目されたBaseは、そのデビューの間、開発者やユーザーの間で大きな興奮を巻き起こしていた。レイヤー2プロトコルは、100を超える分散型アプリケーション(dApps)の印象的な配列とともに、その強力さを披露した。しかし、当初は驚くべき偉業であったこれらのプロジェクトが、わずか1週間のうちに日和見主義的な詐欺師の十字線に巻き込まれてしまったため、注意すべき物語へと急速に変化している。
RocketSwapによるアップデートで、この事件は、プロトコルの運用に不可欠な秘密鍵の保管場所であるプロジェクトのサーバーを標的とした総当たりハッキングによって組織されたことが明らかになった。攻撃者はプロトコルのファーム機能をコントロールすることに成功したため、この侵入の影響は甚大であった。
この侵害を受けて、RocketSwapは直ちに一連の対応策を開始した。このプロトコルの緊急措置には、ファーム機能の停止が含まれており、さらなる不正アクセスを抑制するための戦略的な動きであった。さらに、合理化された通信チャネルを確保し、是正努力に焦点を維持するために、テレグラム・チャンネルを一時的に停止することを決定した。
ロケットスワップの復興計画
RocketSwapのチームは、その後の侵害の余波を乗り切ることを目的とした緊急プログラムを発表した。彼らの計画の中心は、プロジェクトに対する信頼を回復するために考案された一連の決定的な措置である。その代表的なものが、新しいファーム契約の導入である。
分散化の原則に共鳴するジェスチャーで、チームは鋳造権を放棄する意向を明らかにした。これはRCKTトークンのガバナンスと発行に関わる重要なステップであろう。この道に着手することで、彼らは権力と支配の集中に関する潜在的な懸念に対処する態勢を整えているようだ。
特に注目すべきは、加害者自身への公式アピールが準備中であることだ。この要求は、不法に差し押さえられた資産の返還を引き出すためのものである。
そして昨日の夕方、ロケットスワップは「既存の高いリスクと脆弱性はすべて取り除かれた」とし、資金は安全であると更新した。
継続的な更新によると、「初期流動性のロック期間が1年延長」され、「造幣権が放棄」された。
RocketSwapの農場とは?
これらは、流動性プロバイダーがプロトコルのネイティブなRCKTトークンの形で増大した報酬を得るための手段を提供する特別なプールである。
PeckShield、CertiK、その他の企業が決定的な情報を発表
ベースチェーンにおけるDeFiエクスプロイトの後、PeckShieldは決定的な情報を提供した。BaseからEthereumに渡り、合計471ETH(約867,464.25ドル相当)がRocketswapから吸い上げられたのだ。しかし、武勇伝はそこで終わらなかった。ハッカーたちは、90兆ものLoveRCKT"トークンを生成するという、衝撃的な展開を見せたのだ。
#PeckShieldAlert についてロケットスワップ研究所 exploiterは~471を獲得した。ETH からの橋渡しをした。#ベース への#イーサリアム そして、トークン$LoveRCKTを作成し、エクスプロイターはすでに90T $LoveRCKTと400 T $LoveRCKTを供給した。ETH への#ユニスワップhttps://t.co/z12YlLjbsnpic.twitter.com/Wxaph6lcuD
- PeckShieldAlert (@PeckShieldAlert)2023年8月15日
a
これらの新しく鋳造されたトークンの大半は、400ETHとともに、戦略的にも経済的にも重要な動きであるUniswapへの旅に出た。奇妙なことに、トレーダーはハッカーによる配備の余波の中でも予想外の熱狂を見せた。侵入に関連した暗号通貨LoveRCKTの価値は急上昇した。1日のうちにその価格は3倍になり、0.00000001ドルから0.00000003ドルに急上昇した。しかし、高揚感もつかの間、価格は90%以上急落し、大逆転した。
ソースデックススクリーナー
その日のうちに、RocketSwap Labsは厳密な調査と検証を行い、同日中に発見の時系列を固めた。
その直後の数時間で、物語はさらなる深みと文脈を獲得した。ペックシールドは、信頼できる情報源としての役割を強化し、そしてブロックチェーンセキュリティ企業CertiK ニュアンスに富んだ洞察に貢献した。
ソースCertiK
Web3のセキュリティ会社Beosinが提供した洞察は、情報漏洩の背後にある仕組みを明らかにしている。明らかに、悪用者は秘密鍵の侵害を通じて資金にアクセスし、システムの中核にある脆弱性を露呈させた。彼らの大胆な作戦の一環として、彼らはその後、ブロックチェーンエコシステムの相互接続性を強調する戦略的な動きであるスターゲートブリッジを利用してイーサリアムにトークンをルーティングした。
1時間前、PeckShieldは、悪用者が2.5 LoveRCKTトークンを販売したと更新した。
#PeckShieldAlert についてロケットスワップ研究所 exploiter($LoveRCKTデプロイ)は2.5Tを販売した。#LoveRCKT 20.33ドル#ウェスpic.twitter.com/ZtiS4Vrb97
- PeckShieldAlert (@PeckShieldAlert)2023年8月16日
a
コメントを無効化することへの激しい批判
エクスプロイトの余波を受けて、プロジェクトはコミュニケーション・チャンネルを管理するための二重のアプローチをとった。Telegramのコメントを無効化する以外に、この措置をXにも拡大した。しかし、この決定はコミュニティの監視下に置かれ、情報漏洩の後にコミュニケーション手段を制限しているように見えるとして、強い批判を浴びた。
ブルートフォース・ハッキングとは何か?
Web3プロジェクトの領域において、また個々の参加者にとっても、秘密鍵の保護は最重要のセ キュリティ要件である。推奨されるアプローチは、漏洩の潜在的リスクを軽減するために、秘密鍵や機密パスフレーズをオフラインのストレージに保存することである。このベスト・プラクティスから著しく逸脱して、RocketSwapは秘密鍵をサーバーに保管することを選択した。この最適とは言えないセキュリティ対策の影響は、コミュニティ内で広く反響を呼び、メンバーから批判を浴びた。
ハッカーがどのようにしてアカウントやシステムに侵入しようとしているのか、不思議に思ったことはないだろうか。その一つの方法が、総当たり攻撃と呼ばれる方法だ。これは、最終的にドアを開けるまでさまざまな鍵を試すデジタル版のようなものだ。サイバーの世界では、ブルートフォースアタックは、ハッカーが大当たりするまで、体系的に様々なパスワード、ログイン、暗号化キーを試すことを含む。基本的には試行錯誤だ。
ハッカーはコンピュータを使って無数の組み合わせを素早くテストし、遅かれ早かれ正しい組み合わせに行き当たることを期待する。ブルートフォース(総当り)という言葉は、物理的な障壁を打ち破ろうとする断固とした力のように、攻撃者がデジタルロックに執拗に打ち込むという考えに由来する。
劣悪なセキュリティ基準
RocketSwap事件は、新興プラットフォームにおけるセキュリティの脆弱性の徹底的な調査と、暗号通貨全体に対するより広範な影響の調査が急務であることを強調している。
球団はXへの最新の投稿で、"ファーム内の被害住所と金額を集めている "とし、"補償の選択肢 "について話し合っている最中だと述べた。