簡単に
- Peckshield によると、DeFi プラットフォームは今年これまでに合計 23 億 2000 万ドルを悪用しました。
- ブロックチェーン ブリッジは最も弱いリンクであることが証明されており、Ronin Network の 6 億 2000 万ドルの盗難がリストのトップにありました。
- 盗まれた資金の約 50% が Tornado Cash を介して洗い流されました。
分散型金融 (DeFi ) は、仮想通貨業界の「西部開拓時代」と批判されることがあります。今年これまでに複数のプロトコルから盗まれた 23 億 2000 万ドルが、DeFi 今日、批評家は最後の笑いを持っています。
の立ち上げから始まったと主張ビットコイン 2009 年、DeFi は 2020 年にコンパウンド ファイナンスのいわゆる「イールド ファーミング」投資戦略の立ち上げにより本格的に軌道に乗りました。
現在、何千もの分散型アプリケーション (dApps) が使用されています。デフィラマレポート DeFi には 537 億 3000 万ドル以上の価値がロックされているということです。
システムのハッキング
DeFi は仮想通貨の一部であり、分散化とプライバシーというビットコインの基本的な精神に広く忠実であり続け、政府の監視から皮肉な分離を維持しています。しかし、そのような自由はチェックされていない大きなリスクを伴う .
によると ブロックチェーンへ安全 同社の PeckShield によると、ハッカーは今年これまでに DeFi 業界から 135 件を超えるエクスプロイトで 23 億 2000 万ドル以上を盗みました。この数字は、2021 年全体でセクター全体から盗まれたものよりも 50% 高いです。
何年にもわたって、オンライン泥棒はさまざまな戦術を採用して仕事を遂行してきました。最もよく使用される攻撃方法には、ハニーポット、出口詐欺、エクスプロイト、アクセス制御、フラッシュ ローンなどがあります。STRAIGHT データベース . PeckShield によってキュレーションされた、2022 年のこれまでの DeFi エクスプロイトのトップ 10 を以下に示します。
Ronin Network: 損失 – 6 億 2000 万ドル
Ronin Network、イーサリアム 暗号ゲーム Axie Infinity のベースのサイドチェーンは 3 月にだまされた ETHとUSDCで6億2000万ドル以上。攻撃者は、2 つのトランザクションで Ronin ブリッジ契約から「ハッキングされた秘密鍵を使用して偽の引き出しを偽造」しました。
3 月 23 日に発生したエクスプロイトは、1 週間後に 1 人のユーザーが 5,000 イーサの引き出しに失敗したときに初めて発見されました。合計で、ハッカーは 173,600 ETH と 2,550 万 USDC (当時の価値は 6 億 2000 万ドル以上) を手に入れました。
Ronin Network のハッキングは、史上最大の DeFi ハッキングと見なされています。 PeckShield によると、今年はこれまでのところ最大のままです。
ワームホール ブリッジ: 損失 – 3 億 2000 万ドル
2 月 2 日、攻撃者吸い上げた 間の人気のあるクロスチェーン暗号ブリッジである Wormhole プロトコルからラップされた ETH で 3 億 2000 万ドル以上ソラナ 、イーサリアム、雪崩 、 その他。
ワームホールのユーザーは、イーサリアムの価格にペッグされた仮想通貨の一種であるミント ラップ ETH にイーサリアムを賭ける必要があります。
分析会社 Elliptic は、ワームホールが「保護者」アカウントを検証できなかったことがエクスプロイトの原因だと非難しました。攻撃者は 120,000 wETH を発行することができ、イーサリアムの裏付けはありません。その後、ハッカーは 93,750 wETH をイーサリアムに交換し、残りを Solana に交換しました。当時の損失総額は 3 億 2000 万ドルを超えていました。
Nomad Bridge: 損失 – 1 億 9,000 万ドル
8 月 2 日、ハッカーは、ユーザーが 1 つのブロックチェーンから別のブロックチェーンにトークンを交換できるツールである Nomad から、約 1 億 9000 万ドルの暗号通貨を流出させました。
攻撃は、Nomad のコードのアップグレードから始まりました。ユーザーがトランザクションを行うたびに、スマート コントラクトのセクションが有効としてマークされました。これにより、悪意のある人物は、プラットフォームに預け入れたよりも多くの資産を引き出すことができました。ハッカーは、1 億 9000 万ドルの仮想通貨が橋の外に持ち出されるまで、このプロセスを繰り返しました。遊牧民は手遅れになるまでそれを知りませんでした。
Beanstalk Farms: 1 億 8,200 万ドルの損失
4 月には、攻撃者が Beanstalk Farms から 1 億 8,200 万ドルの暗号資産を流出させました。これは、さまざまな暗号資産の需要と供給のバランスを取ることを目的とした DeFi プロトコルです。
PeckShield によると、攻撃者は Beanstalk の過半数投票ガバナンス システムを悪用し、1 億 8,200 万ドルを送金することに投票しました。攻撃者はフラッシュ ローンを使用してプロトコルの支配権を取得しましたが、実際の利益は 8,000 万ドル程度にすぎなかったと同社は述べています。
Wintermute: 1 億 6,000 万ドルの損失
ウィンターミュートは最新 DeFi プロトコルは、プラットフォームの分散型金融セクションから 1 億 6000 万ドルを奪ったハッカーの犠牲になりました。 CEO の Evgeny Gaevoy 氏は、このハッキングはイーサリアムのバニティ アドレス生成ツール Profanity の重大なバグに関連していると述べました。
Wintermute はこのツールを使用して一意のアドレスを生成し、トランザクション コストを削減しました。この特定の攻撃の背後には、人為的ミスがあるようです。
Elrond: 損失 – 1 億 1,300 万ドル
6 月、ハッカーは分散型取引所 Maiar の抜け穴を悪用して、Elrond ブロックチェーンのネイティブ トークンである約 165 万個の elrond egold (EGLD) を盗みました。研究者によると、攻撃者はスマート コントラクトを展開し、3 つのウォレットを使用して、推定 1 億 1,300 万ドル相当の EGLD を取引所から盗みました。
ハッカーはすぐに同じ DEX で 800,000 のトークンを 5,400 万ドルで売却し、残りは集中型取引所で売却するか、イーサリアムに交換しました。
Horizon Bridge: 損失 – 1億ドル
Elrond のエクスプロイトからわずか数日後、ハッカーは 6 月 23 日に再び攻撃を仕掛けました。ヒッティング ホライズン ブリッジはほぼ 1 億ドルで落札されました。 Horizon は、Ethereum 間のクロスチェーン相互運用プラットフォームです。バイナンス Smart Chain と Harmony ブロックチェーン ネットワーク。
PeckShield は、さまざまなトークンで 9800 万ドル以上が Harmony が管理するプラットフォームから流出し、イーサに交換されたことを明らかにしました。 50,000 を超えるユーザーのウォレットが影響を受けました。ハッカーはその後、Tornado Cash を通じて 3,500 万ドルを移動しました。
Qubit Finance: 損失 – 8,000 万ドル
DeFiプロトコル言った 1 月 28 日に、QBridge プロトコルから 206,809 バイナンス コイン (BNB) を盗んだ攻撃者によって悪用されたことが明らかになりました。合計で、トークンは8000万ドルと評価されました。
セキュリティ会社 Certik によると、攻撃者は QBridge コントラクトのデポジット オプションを利用して 77,162 qXETH を作成しました。これは、Qubit を介してブリッジされたイーサリアムを表すために使用されるある種の暗号です。攻撃者は、プラットフォームをだまして、入金したと信じ込ませました。このプロセスを十分に繰り返した後、資産を BNB に交換して姿を消しました。
Cashio: 損失 – 4,800 万ドル
Cashio, a ステーブルコイン Solana のプロトコルは、チームが 3 月に「無限のミント グリッチ」エクスプロイトと呼ぶものに見舞われました。ハッカー吸い上げた プロトコルから 4,800 万ドルが流出し、Cashio の CASH ステーブルコインが崩壊しました。
Cashio を使用すると、ユーザーは利子付きの流動性プロバイダー トークンに裏打ちされたすべての預金で CASH ステーブルコインを作成できます。攻撃者は数十億ドルの現金を鋳造し、DEX セイバーを通じて撤退する前に、それ自体が崩壊した USDC と UST に交換しました。
ハッキング後、ドルペッグのCASHは0ドルに急落しました。アタッカー戻ってきた 100,000 ドル未満の口座への送金で、寄付 残りはチャリティーに。これが最後に聞いた、Cashio 戦利品です。現金は死んでいます。
Scream: 損失 – 3,800 万ドル
Fantom ベースの融資プラットフォーム Scream苦しんだ おそらく、プロトコル セキュリティの観点から、今年の DeFi で最も不注意なエクスプロイトの 1 つです。スクリームは、ステーブルコインの後、3,800 万ドルの借金を負いました。ファントム USD (fUSD) と、価値が 1 ドルに固定されていた DEI は、ペッグを失いました。
プロトコルは 2 つのステーブルコインの価値をハードコーディングしていたため、資産の価値の低下は Scream に表示されませんでした。クジラはこの抜け穴を利用して、ペッグ解除された fUSD と DEI を預け入れながら、他の貴重なステーブルコインのプロトコルを流出させました。
ステーブルコインFRAX、USDT、USDC、MIMで合計3800万ドルがネットワークから引き離されました。事件の後、スクリームはハードコアな価格設定を放棄し、チェーンリンク リアルタイムの価格データのオラクル。クジラは戦利品を保管していました。 degens の良い給料日!.
盗まれた数十億はどうなりましたか?
まあ、それは失われました。その多くは永久に。
PeckShield は、上記のプロトコルから盗まれたお金の約 50%、または 11 億 6000 万ドルが、8 月に米国政府によって認可された Ethereum ベースの暗号通貨ミキサーである Tornado Cash を介して洗浄され、暗号コミュニティからの強い反応を引き起こしたと述べました。
Tornado Cash を使用すると、仮想通貨ユーザーは金融取引の履歴を難読化し、追跡を困難にすることができます。米国のセキュリティ機関である FBI によると、このミキサーは、2019 年以来、北朝鮮に関連するハッカー グループ Lazarus などによって利用され、70 億ドル以上の仮想通貨がマネーロンダリングされています。
ハッカーが何十億ドルも持って姿を消した一方で、影響を受けた DeFi プロトコルは、お金を取り戻そうと一連の試みを行いましたが、ほとんど成功しませんでした。これを行う 1 つの方法は、何らかのインセンティブと引き換えに、不正に入手した戦利品を返還するよう攻撃者に単純に懇願することです。またはまったくありません。
Qubit Finance はそれを試み、200 万ドルの報奨金を提示しました。うまくいきませんでした。ハーモニーも同じ考えで翻弄された。それは賞金100万ドル ホライゾン・ブリッジから盗まれた1億ドルを返還し、刑事告発しないことを約束した。ハッカーは電話を無視しました。何も回収されませんでした。
しかし、2021 年 8 月の Poly Network でも同様の戦略が機能し、攻撃者は盗んだ 6 億ドルの大部分を返しました。
その幸運はローニンにも及びます。今月初め、ネットワーク回復した 暗号セキュリティ企業のチェイナリシス、米国財務省、FBI の支援を受けて、3,000 万ドルの損失を被りました。しかし、これはハッキングで盗まれた 6 億 2000 万ドルの 5% にすぎません。 FBI は、約 4 億 5,500 万ドルが Tornado Cash を介して、攻撃者とされる Lazarus Group によって洗い流されたと推定しています。
Nomad Bridge のハッカーは、クロスチェーン ブリッジが 1 億 9,040 万ドルで悪用された翌日、900 万ドルをプラットフォームに送り返しました。返還されたすべての資金に対して 10% の報奨金が支払われた後、ホワイト ハッカーは略奪した総額のうちさらに 3,200 万ドルをハッキングし、クロスチェーン ブリッジに返しました。残りのほとんどは、ハッカーが盗んだ資産を必死に保持しようとしたため、異なるアドレス間でシャッフルされました。彼らがやった。
ワームホールは 3 億 2000 万ドルを回収できませんでした。それは救出されなければなりませんでした。プロトコルに出資しているジャンプ トレーディング グループは、脆弱性が修正された後、盗まれた 120,000 ETH を交換するために飛びつきました。
ハッキングされない方法
明らかに、ブロックチェーン ブリッジが最も弱いようですリンク DeFiで。個人とプロトコルが安全を保つ方法があります。
「プロジェクトを開発する際には、明確な委任事項を起草し、プロジェクトの機能を可能な限りテストでカバーして、論理エラーを回避する必要があります」と、ブロックチェーン セキュリティ企業 Smart State の創設者である Alex Belets 氏は Be[In]Crypto に語った。
「自動脆弱性スキャナーを使用し、ライブラリがあるものを実装しようとしないでください。監査を実行し、秘密鍵を安全に保ちます。 Profanity のようなサードパーティのアプリケーションを使用して秘密鍵を生成しないでください (Wintermute のハッキングの理由)」と彼は付け加えました。
免責事項
当社のウェブサイトに含まれるすべての情報は、誠意を持って公開されており、一般的な情報提供のみを目的としています。読者が当社のウェブサイトで見つけた情報に対してとる行動は、厳密に自己責任で行ってください。
Zoey
Hui Xin
Snake
Clement
Beincrypto
Coinlive 
CryptoSlate
Bitcoinist
Cointelegraph