分散型金融 (DeFi) 業界は、過去 2 か月でハッカーに 10 億ドル以上を失い、状況は制御不能になっているようです。
最新の統計によると、約 16 億ドルが暗号通貨は DeFi プラットフォームから盗まれました さらに、盗まれたすべての暗号の 90% 以上が、ハッキングされた DeFi プロトコルからのものです。
これらの数字は、無視すれば長期にわたって続く可能性が高い悲惨な状況を浮き彫りにしています。
ハッカーが DeFi プラットフォームを好む理由
近年、ハッカーは DeFi システムを標的とする活動を強化しています。これらのグループがこのセクターに引き寄せられる主な理由の 1 つは、分散型金融プラットフォームが保有する莫大な資金です。上位の DeFi プラットフォームは、毎月数十億ドルの取引を処理しています。そのため、攻撃を成功させることができるハッカーには高い報酬が与えられます。
ほとんどの DeFi プロトコル コードがオープン ソースであるという事実も、サイバーセキュリティの脅威にさらされやすくなっています。
これは、オープンソース プログラムが一般に公開されており、インターネットに接続していれば誰でも監査できるためです。そのため、エクスプロイトを簡単に探すことができます。この固有の特性により、ハッカーは完全性の問題について DeFi アプリケーションを分析し、事前に強盗を計画することができます。
一部のDeFi開発者は、認定されたサイバーセキュリティ企業によって公開されたプラットフォームセキュリティ監査レポートを故意に無視することで、状況に貢献しています.一部の開発チームは、大規模なセキュリティ分析を行わずに DeFi プロジェクトを立ち上げています。これにより、コーディングの欠陥が発生する可能性が高くなります。
DeFi セキュリティに関するもう 1 つの弱点は、エコシステムの相互接続性です。 DeFi プラットフォームは通常、クロスブリッジを使用して相互接続され、利便性と汎用性を高めます。
クロスブリッジはユーザー エクスペリエンスを向上させますが、これらの重要なコード スニペットは、分散型台帳の巨大なネットワークをさまざまなレベルのセキュリティで接続します。この多重構成により、DeFi ハッカーは複数のプラットフォームの機能を利用して、特定のプラットフォームへの攻撃を増幅できます。また、不正に得た資金を複数の分散型ネットワーク間でシームレスに迅速に転送することもできます。
前述のリスクに加えて、DeFi プラットフォームはインサイダーの妨害行為にもなりがちです。
セキュリティ違反
ハッカーは、脆弱な DeFi 境界システムに侵入するためにさまざまな手法を使用しています。
セキュリティ侵害は、DeFi セクターではよくあることです。によると 2022年のチェイナリシスへ 報告によると、過去 2 年間に盗まれた仮想通貨全体の約 35% がセキュリティ侵害によるものです。
それらの多くは、コードの誤りが原因で発生します。ハッカーは通常、これらのタイプの攻撃を実行できるようにする体系的なコーディング エラーを見つけることにかなりのリソースを費やし、通常、これを支援するために高度なバグ トラッカー ツールを利用します。
脅威アクターが脆弱なプラットフォームを探すために使用するもう 1 つの一般的な戦術は、パッチが適用されていないセキュリティの問題が存在するネットワークを追跡することです。
最近のワームホール DeFi ハッキング攻撃の背後にいるハッカーは、約3億2500万ドルの損失 のデジタルトークンがこの戦略を使用したと報告されています。コード コミットの分析により、プラットフォームの GitHub リポジトリにアップロードされた脆弱性パッチが、パッチが展開される前に悪用されたことが明らかになりました。
このミスにより、侵入者は、3 億 2,500 万ドル相当の 120,000 個の Wrapped Ether (wETH) コインの発行を許可するシステム署名を偽造することができました。その後、ハッカーは wETH を約 2 億 5000 万ドルのイーサで売却しました (イーサリアム )。交換された Ethereum コインは、プラットフォームの決済準備金から派生したものであり、それによって損失が発生しました。
ワームホール サービスは、チェーン間のブリッジとして機能します。これにより、ユーザーは、チェーン全体でラップされたトークンで入金された暗号通貨を使用できます。これは、入金されたコインを直接交換または変換する必要性を軽減する、ワームホールでラップされたトークンを作成することによって達成されます。
最近: ブロックチェーンアーカイブが戦時中の歴史の記録方法をどのように変えることができるか
フラッシュローン攻撃
フラッシュ ローンは、信用調査を必要としない無担保の DeFi ローンです。投資家やトレーダーは即座に資金を借りることができます。
その利便性から、フラッシュ ローンは通常、接続された DeFi エコシステムで裁定取引の機会を利用するために使用されます。
フラッシュ ローン攻撃では、人為的な価格の不一致を作り出す価格操作技術を使用して、レンディング プロトコルが標的にされ、危険にさらされます。これにより、悪意のある人物が大幅に割引されたレートで資産を購入できるようになります。ほとんどのフラッシュ ローン攻撃は、実行に数分、場合によっては数秒かかり、相互にリンクされた複数の DeFi プロトコルが関与します。
攻撃者が資産価格を操作する 1 つの方法は、攻撃可能な価格オラクルを標的にすることです。たとえば、DeFiの価格オラクルは、評判の良い取引所や取引サイトなどの外部ソースからレートを引き出します。たとえば、ハッカーはソース サイトを操作してオラクルをだまし、目標とする資産レートの値を一時的に引き下げさせ、より広い市場と比較して低価格で取引させることができます。
その後、攻撃者はデフレレートで資産を購入し、変動為替レートですぐに売却します。フラッシュ ローンで取得したレバレッジ トークンを使用することで、利益を拡大することができます。
一部の攻撃者は、価格を操作するだけでなく、DeFi 投票プロセスをハイジャックしてフラッシュ ローン攻撃を実行することができました。ごく最近、Beanstalk DeFi は 1 億 8,200 万ドルの損失を被りました 攻撃者がガバナンス システムの欠点を利用した後。
Beanstalk 開発チームは、参加者がコア機能としてプラットフォームの変更に投票できるガバナンス メカニズムを組み込んでいました。このセットアップは、民主主義を支持するため、DeFi 業界で人気があります。プラットフォームでの投票権は、保有するネイティブトークンの価値に比例するように設定されました。
侵害の分析により、攻撃者は Aave DeFi プロトコルからフラッシュ ローンを取得して、約 10 億ドルの資産を取得したことが明らかになりました。これにより、投票ガバナンス システムで 67% の過半数を獲得し、資産の移転を一方的に承認することができました。加害者は、フラッシュ ローンと関連する追加料金を返済した後、デジタル通貨で約 8,000 万ドルを手に入れました。
Chainalysis によると、2021 年に約 3 億 6000 万ドル相当の仮想通貨がフラッシュ ローンを使用して DeFi プラットフォームから盗まれました。
盗まれた仮想通貨はどこへ行く?
長い間、ハッカーは集中型取引所を使用して盗んだ資金を洗浄してきましたが、サイバー犯罪者はそれらを DeFi プラットフォームに捨て始めています。 2021 年、サイバー犯罪者送信済 これは、2020 年の 2% から大幅に増加しています。
市場の専門家は、DeFi プロトコルへの移行は、より厳格な顧客確認 (KYC) およびアンチマネーロンダリング (AML) プロセスの広範な実装によるものであると理論付けています。この手順により、サイバー犯罪者が求める匿名性が損なわれます。ほとんどの DeFi プラットフォームは、これらの重要なプロセスを放棄しています。
当局との協力
また、中央集権的な取引所は、これまで以上に当局と協力してサイバー犯罪に対抗しています。 4 月、Binance 取引所は、盗まれた暗号通貨で 580 万ドルを回収 これは、Axie Infinity から盗まれた 6 億 2500 万ドルの隠し場所の一部でした。このお金は当初、Tornado Cash に送金されていました。
Tornado Cash は、取引アドレスの追跡に使用されるオンチェーン リンクを断片化することにより、資金の出所を難読化するトークン匿名化サービスです。
ただし、盗まれた資金の一部は、ブロックチェーン分析会社によってバイナンスに追跡されました。戦利品は、取引所の 86 のアドレスに保管されていました。
事件の余波を受けて、米国財務省の広報担当者は、ブラックリストに登録された仮想通貨アドレスからの資金を扱う仮想通貨取引所は、制裁を受けるリスクがあると強調しました。
Tornado Cash はまた、盗まれた資金がそのネットワークに転送されるのを阻止するために、当局と協力しているようです。同社は、禁輸されたウォレットを特定してブロックするのに役立つ監視ツールを実装すると述べています。
で若干の進展が見られるようである.当局によるニック資産の押収 .今年初め、米国司法省は 36 億ドルの仮想通貨の押収を発表し、資金洗浄に関与した 2 人を逮捕しました。このお金は、2016 年にビットフィネックス仮想通貨取引所から盗まれた 45 億ドルの一部でした。
暗号押収は、これまでに記録された中で最大のものでした。
DeFiのCEOが現状について語る
今週初めにコインテレグラフに独占的に語ったのは、分散型金融アプリケーション向けに最適化された相互運用可能なスマートコントラクトプラットフォームである Injective Labs の CEO 兼共同設立者である Eric Chen 氏で、問題が沈静化する希望があると述べました。
「より堅牢なセキュリティ基準が導入されるにつれて、潮流は沈静化し続けています。適切なテストとさらなるセキュリティ インフラストラクチャの導入により、DeFi プロジェクトは将来的に一般的なエクスプロイト リスクを防ぐことができるようになります。」
彼のネットワークがハッキング攻撃を回避するために取っていた対策について、Chen 氏は次のように概説しました。
「Injective は、従来の Ethereum 仮想マシンベースの DeFi アプリケーションと比較して、より厳密に定義されたアプリケーション中心のセキュリティ モデルを保証します。ブロックチェーンの設計とコア モジュールのロジックは、再入可能性、最大抽出可能値、フラッシュ ローンなどの一般的な攻撃から Injective を保護します。 Injective 上に構築されたアプリケーションは、コンセンサス レベルでブロックチェーンに実装されているセキュリティ対策の恩恵を受けることができます。」
最近: 世界的な採用の増加により、小売での使用に最適な暗号が位置付けられます
コインテレグラフはまた、ハッキングの発生率の増加について、Allnodes(非管理ホスティングおよびステーキングプラットフォーム)のCEO兼創設者であるKonstantin Boyko-Romanovskyと話す機会がありました.トレンドの背後にある主な触媒について、彼は次のように述べています。
「DeFiハッキングのリスクを下げるには、間違いなく時間がかかるでしょう。しかし、それが一晩で起こる可能性は低いです。 DeFiにはレースの余韻が残ります。プロジェクトの発起人を含め、誰もが急いでいるようです。市場は、プログラマーがコードを書く速度よりも速く進化しています。あらゆる予防策を講じる優れたプレーヤーは少数派です。」
彼はまた、問題に対処するのに役立つ手順についていくつかの洞察を提供しました。
「コードは改善されなければならず、スマート コントラクトは徹底的に監査されなければなりません。それは確かです。さらに、ユーザーはオンラインでの慎重なエチケットを常に思い出させる必要があります。欠陥を特定することは、魅力的なインセンティブになる可能性があります。これにより、特定のプロトコル全体でより健康的な行動が促進される可能性があります。」
DeFi 業界は、ハッキング攻撃を阻止するのに苦労しています。しかし、当局による監視の強化と取引所間の協力の強化が、惨劇の抑制に役立つことが期待されています。
JinseFinance
Joy
Coindesk
Ledgerinsights
Bitcoinist
Cointelegraph