SlowMist: ブロックチェーンのセキュリティに関するレビュー

この記事は、Coinlive と SlowMist によるオリジナルの Web3 年次レビューです。内容を転載する場合は出典を明示してください。

ハッキング インシデントの数に関する SlowMist Hacked のアーカイブ リポジトリによると、2022 年には合計 295 件のセキュリティ インシデントがあり、最大 37 億 2800 万米ドルが失われました。 2021 年の 97 億 9,500 万米ドルと比較すると、62% 減少しています。ただし、これは市場の混乱により失われた資産を除いたものです。

さまざまな DeFi エコシステム、クロスチェーン ブリッジ、NFT で少なくとも 245 件のセキュリティ インシデントが発生しています。さらに、取引所、パブリック ブロックチェーン、ウォレットなどに関連するセキュリティ インシデントがそれぞれ 10 件、11 件、5 件、24 件あります。

時間的には、攻撃は 5 月と 10 月に最も頻繁に発生し、38 件に達します。 3 月には約 7 億米ドルの損失が最大となっています。

1) ブロックチェーンエコシステムのセキュリティの概要

パブリック ブロックチェーン

パブリック ブロックチェーンは、Web3 分野で最も基本的なインフラストラクチャであり、業界で最も競争力のあるインフラストラクチャの 1 つでもあります。 2022年の最も驚くべき事件は、テラ事件にほかなりません。 2022 年 5 月 8 日、仮想通貨市場は史上最も破壊的な崩壊を見せました。 Terra ネットワークのアルゴリズム ステーブルコイン UST の 2 億 8,500 万米ドルという莫大な金額が投棄されました。これが一連の連鎖反応を引き起こし、Terra のネイティブ トークンである LUNA の価格が警告なしに突然の隕石衝突を経験しました。わずか 1 日で、LUNA の市場価値は約 400 億米ドルも下落し、TVL エコシステムはほとんどゼロにまで縮小しました。この事件が2022年のクリプトウィンターの引き金になったのかもしれません。

DeFi/クロスチェーン ブリッジ

DeFi Llama の統計によると、12 月末までにロックされた DeFi の総額は 398 億米ドルです。これは、前年比で 75% の減少です。イーサリアムがリードし、DeFi TVL の 58.5% (233 億米ドル) を占めています。 TRON は 43 億米ドルの TVL ですぐ後に続き、BNB チェーン (BNB) は 42 億米ドルを占めています。興味深いことに、2022 年 5 月に、DeFi における Ethereum の TVL の割合は 35% 減少しましたが、TRON の TVL の割合は 47% 増加しました。

SlowMist Hacked の統計によると、2022 年に BNBChain で発生したセキュリティ インシデントは少なくとも 90 件あります。損失総額は約 7 億 8,500 万米ドルで、別のプラットフォームでの損失額で第 1 位です。逆に、イーサリアムでは 50 件以上のセキュリティ インシデントが発生しており、総損失額は 5 億 2,800 万ドルに上ります。また、約 11 件のセキュリティ インシデントが発生し、合計で 1 億 9,600 万米ドルを失った Solana もあります。

Dune Analytics の統計によると、イーサリアムのクロスチェーン ブリッジの TVL は 83 億 9,000 万ドルに達し、今年の上半期と比較して 31% 減少しました。現在、Polygon Bridges が最高の TVL (30 億米ドル) を持っています。 2 位は Arbitrum Bridges (12 億 8000 万ドル)、Optimism Bridges (8 億 5000 万ドル) です。クロスチェーン ブリッジにより、ユーザーは暗号資産をあるチェーンから別のチェーンに移動できるようになり、主にマルチチェーン スケーリングの問題が解決されます。しかし、クロスチェーンブリッジのスマートコントラクトは、その多額の資金とセキュリティ監査の欠如により、ハッカーの注目を集めています.

SlowMist Hacked の統計によると、2022 年にクロスチェーン ブリッジで発生したセキュリティ インシデントは 15 件です。損失額は 12 億 1000 万米ドルに達し、2022 年の総損失額の 32.45% を占めます。

結論として、プロジェクトで脆弱性を排除し、セキュリティ リスクを可能な限り軽減したい場合は、そのために効果的に取り組む必要があります。プロジェクトが稼働する前に、包括的かつ詳細なセキュリティ監査を実施してください。同時に、プロジェクトはマルチ署名メカニズムを通じて資産保護を強化することをお勧めします。プロトコル間のやり取りやコードの移植を行う場合、プロジェクトは、移植されたコントラクトのフレームワークと、独自のプロジェクトのフレームワークの設計を十分に理解する必要があります。両方のプロトコルが互換性がある場合、金銭的損失をもたらす状況の発生を防ぐのに十分です。ユーザーにとっては、ブロックチェーンの遊び方が多様化する中、プロジェクトの背景をよく理解した上で投資を進める必要があります。プロジェクトに参加する前に、プロジェクトのリスクに注意して注意し、プロジェクトがオープンソースで監査されているかどうかを確認してください。

NFT

2022年のNFTのパフォーマンスは非常に目を引きます。 NFTScan の統計によると、今年の Ethereum の NFT の取引総数はなんと 1 億 9,800 万回に上ります。これは明らかに 2020 年と 2021 年のデータよりも高くなっています。 BNBChain での NFT 取引数は年間 3 億 4,500 万回に達し、Polygon の NFT 取引数は 7,930 億回です。

一方、SlowMist Hacked の不完全な統計によると、NFT 側で 56 件のセキュリティ インシデントが発生しました。損失総額は 6 億 5,430 万ドルを超え、その大部分はケースの 40% (22 ケース) を占めるフィッシング攻撃によるものです。第 2 に、じゅうたんの引っ張りは 12 件の事例で 21% を占めています。

ウォレット/取引所

2 月 8 日、米国司法省 (DOJ) は、36 億米ドル相当のビットコインの回収に成功したと発表しました。これらのビットコインは、2016 年に暗号通貨取引所 Bitfinex で発生したハッカー事件に関連しています。マネーロンダリングと詐欺。これは、米国司法省による史上最大の金銭的差し押さえでもあります。

11 月 6 日、Binance の創設者である CZ は、残りのすべての FTT を清算するという彼の決定を Twitter に投稿し、2 つの主要な取引所間の対立を引き起こしました。 Alameda の CEO と FTX の CEO にもかかわらず、SBF はユーザーの信頼を安定させ、一連のツイートで以前に公開されたニュースに反論しようとしています。しかし、それでもFTXの流動性プールは枯渇し、破産に至りました。 FTXは最終的に崩壊し、SBFは逮捕されました。透明性の欠如は、集中型取引所に対するユーザーの信頼の危機を引き起こし、健全な規制の欠如の問題を浮き彫りにしています。消費者保護に一層の注意を払うにせよ、制度に関する規則をより明確にするにせよ、規制のペースはさらに明確になるでしょう。

FTXの崩壊後、ハードウェアウォレットの販売が急増しました。最も利用者の多いウォレット、MetaMask の月間アクティブユーザー数は 3 億人に達しました。 Finbold の統計によると、トップ 21 の仮想通貨ストレージ アプリケーションに基づくと、2022 年 1 月から 10 月の間に、Android と iOS の両方で、仮想通貨ウォレットのダウンロード数は 1 億 200 万回でした。このデータは、2021 年の弱気市場の 1 億 8800 万回のダウンロード数よりは少ないですが、 、それは他のどの年よりもまだ高いです。月次統計によると、年初の暗号ウォレットのダウンロード数は減少に直面しています。しかし、Terra/LUNA のクラッシュと FTX の崩壊の後、大幅な増加を経験しました。

その他

ブロックチェーン技術の不可逆性と匿名性は、プライバシーを効果的に保護するだけでなく、サイバー犯罪に対する「保護の傘」も提供します。メタバースや NFT などの概念が普及するにつれて、暗号通貨の盗難や詐欺が時折発生します。多くの犯罪者は、ブロックチェーンを装った「暗号資産」を送り出し、詐欺行為を行っています。そのような作品の進歩とプロフェッショナリズムは、私たちの想像をはるかに超えています.

中国人民銀行の決済部門のデータによると、2021年の不正決済の支払い方法のうち、暗号通貨の使用は銀行振込に次いで2番目で、7億5000万米ドルに上ります。一方、2020 年と 2019 年は、それぞれわずか 1 億 8,000 万ドルと 3,000 万ドルでした。年々増加傾向が顕著です。特筆すべきは、恋愛詐欺での仮想通貨送金が急増していることです。 2021 年のロマンス詐欺による詐欺の総額のうち、1 億 3,900 万米ドルが仮想通貨で支払われています。これは、2020 年と 2019 年のそれぞれの 5 倍と 25 倍です。

米国連邦取引委員会 (FTC) の報告によると、2021 年初頭からわずか 1 年余りで、仮想通貨詐欺に遭遇したと報告した人はすでに 46,000 人を超えています。損失の合計は 10 億米ドルを超えています。レポートによると、最も一般的な仮想通貨詐欺は投資に関連したもので、10 億ドルのうち 5,750 億ドルを占めています。詐欺師にとって最も一般的な支払い方法は、BTC (70%)、USDT (10%)、ETH (9%) です。

2) 攻撃方法

295 件のセキュリティ インシデントでは、攻撃の方法は主に 3 つのタイプに分類できます。1) プロジェクト自体の設計上の欠陥や契約のさまざまな脆弱性による攻撃、2) ラグプル、フィッシング、および方法などの詐欺の種類。 、3) 秘密鍵の漏洩による資産の損失。

2022 年の最も一般的な攻撃方法は、プロジェクト自体の設計上の欠陥と、契約のさまざまな脆弱性が原因です。このようなケースは約 92 件あり、合計で 10 億 6000 万米ドルの損失となり、すべての攻撃の 40.5% を占めています。このような攻撃の主な原因はフラッシュ ローンによるもので、合計 6 億 1,330 万ドルが失われた約 19 件を占めています。その他の原因には、再入場、価格操作、検証の問題などがあります。

秘密鍵の漏えいによる資産損失の確率は約 6% ですが、損失総額は最大で 7,460 億米ドルに上ります。コントラクトの脆弱性によるエクスプロイトに次いで、秘密鍵の盗難による最大の損失は Ronin 事件によるもので、Harmony がそれに続きました。それらはすべてクロスチェーンブリッジからのものでした。

Web3 の世界では、ユーザーのセキュリティ意識が異なることが多く、その結果、ユーザーに対するさまざまなフィッシング攻撃が頻繁に発生します。たとえば、攻撃者は悪意のある手段を使用して、プロジェクトの公式ソーシャル メディア プラットフォーム (Discord、Twitter など) を乗っ取ったり、公式ソーシャル メディア アカウントを装ったりします。その後、ミントやエアドロップのフィッシング リンクを投稿し、時には本物の公式アカウントを再投稿してユーザーを混乱させます。たとえば、検索エンジンで広告を使用して偽の Web サイトを宣伝したり、公式のものと非常によく似たドメイン名とコンテンツを宣伝して、それらを信じられるようにします。これには、電子メールを模倣した作成、ユーザーを罠に陥らせる魅力的な景品の作成が含まれます。その他の例には、新規ユーザーの情報不足を利用して、偽のアプリケーション ダウンロード リンクを提供することが含まれます。いずれにせよ、最も重要なことは、あなたの意識を高めることです。同時に、彼らの罠にはまったことがわかった場合は、証拠を残すだけでなく、時間内の損失を防ぐために、すぐに資産を譲渡してください。必要に応じて、業界のセキュリティ機関に支援を求めてください。

最悪のケースは、敷物を引っ張ることです。ラグプルとは通常、創業者がプロジェクトをあきらめ、資金を持ち逃げすることを指します。プロジェクトが悪意を持っていることもよくあります。ラグプルはさまざまな方法で発生する可能性があります。たとえば、開発者が初期流動性を開始すると、価格が押し上げられます。次に、流動性を引き出し、暗号プロジェクトを作成します。さまざまなマーケティング手段を通じて、彼らは仮想通貨ユーザーを投資に引き付け、ユーザーの投資資金を警告なしに奪う適切な時期を選択します。彼らはこれらの暗号資産の売却を進め、最終的には姿を消し、プロジェクトに投資したユーザーは莫大な損失を被ることになります。もう 1 つの例は、ウェブサイトをリリースするが、数万件以上の入金を受け取った後に閉鎖することです。 2022 年だけでも 50 件の敷物引き取りがあり、1,880 億米ドルの損失をもたらしています。それらは、BSC エコシステムと NFT の中で最も頻繁に使用されます。

2022 年の新しい手法には、フロントエンドの悪意のある攻撃、DNS 攻撃、BGP ハイジャックが含まれます。最も奇妙なケースは、人為的な設定ミスや操作ミスによる資産の損失です。

3) フィッシング/詐欺の手口

このセグメントでは、SlowMist が開示した特定のフィッシング/詐欺手法のみを明らかにします。

Discord トークンを盗む悪意のある Web ブラウザのブックマーク

最近のブラウザはすべて独自のブックマーク マネージャを備えていますが、利便性を提供する反面、攻撃者の格好の標的にもなっています。悪意を持って作成されたフィッシング ページを通じて、保存されたブックマークに JavaScript コードを挿入することができます。これで、Discord の webpackChunkdiscord_app フロントエンド パッケージを通じて情報を取得するなど、基本的に何でもできます。 Discord ユーザーがそれをクリックすると、悪意のある JavaScript コードがユーザーの Discord ドメイン内で実行を開始します。それはあなたの Discord トークンを盗み、その後、攻撃者は Discord アカウントに関連する関連する権限を直接かつ自動的に乗っ取り、プロジェクトを管理することができます。 Discord トークンを受け取ることは、Discord アカウントにログインすることに似ています。 Discord Webhook ボットの作成や、チャネルに偽の発表を投稿するフィッシングを実行するなど、ログインしているアカウントが実行できるすべてのことを実行できます。以下は、被害者がフィッシング ブックマークをクリックする様子を示しています。

以下は、トークンと被害者の個人情報を受け取る攻撃者によって記述された JavaScript コードを示しています。 Discord サーバーの Webhook を介して受信されます。

図に示すように、ユーザーが Web Discord にログインし、被害者が既にフィッシング ページから悪意のあるブックマークを保存していると仮定すると、ユーザーが Discord Web にログインしてブックマークをクリックすると、悪意のあるコードがトリガーされます。その結果、攻撃者が設定した Discord Webhook を介して、被害者のトークンとその他の個人情報が攻撃者のチャネルに送信されます。

偽の注文 NFT フィッシング

次のフィッシング Web サイトの例では、署名の内容は次のとおりです。

メーカー：ユーザーのアドレス

テイカー: 0xde6135b63decc47d5a5d47834a7dd241fe61945a

Exchange: 0x7f268357A8c2552623316e2562D90e642bB538E5 (OpenSea V2 の契約アドレス)

これは一般的に見られる NFT フィッシング手法であり、詐欺師はあなたが所有するすべての NFT を 0ETH (またはその他の通貨) で購入できます。つまり、この注文は、ユーザーをだまして自分の NFT の販売に署名させるということです。ユーザーがこの注文に署名すると、詐欺師は OpenSea から NFT を直接購入できます。しかし、彼らが購入する価格は詐欺師によって決定されます。つまり、詐欺師は 1 セントも費やすことなくユーザーの NFT を「購入」できます。

さらに、署名は基本的に攻撃者によって保存されます。署名を認証解除するために、Revoke.Cash や Etherscan などの Web サイトを介してその有効性を取り消すことはできません。ただし、注文をリストする権限を取り消すことができるため、このようなフィッシングのリスクを根本的な問題から防ぐことができます。

Redline Stealer トロイの木馬

このような攻撃は Discord を経由して、ユーザーを新しいゲーム プロジェクトのベータ テストに参加するように招待します。 「割引を提供する」、グループからのプライベート チャットなどの方法を装って、ダウンロードするプログラムを送信します。彼らは通常、約 800 MB 相当の .exe ファイルを抽出する zip ファイルを送信します。デバイスで実行すると、すべてのファイルがスキャンされ、「wallet」という単語とその他の関連キーワードで構成されるファイルが除外されます。その後、攻撃者のサーバーにアップロードされ、暗号通貨を盗むという目的を達成します。

Redline Stealer は、アンダーグラウンド フォーラムで個別に販売されている悪意のあるトロイの木馬で、2020 年 3 月に発見されました。このマルウェアは、保存された資格情報、オートコンプリートされたデータ、ブラウザからクレジット カードなどの情報を収集します。 Redline の新しいバージョンでは、暗号通貨を盗む機能が追加されました。これにより、既にインストールされている暗号通貨ウォレットの情報を自動的にスキャンできます。次に、リモート制御デバイスにアップロードされます。このマルウェアには、ファイルのアップロードとダウンロード、コマンドの実行、および感染したデバイスに関する情報を定期的に送り返す機能があります。多くの場合、暗号通貨ウォレット関連のディレクトリを攻撃し、ウォレット ファイルでスキャンを実行します。

ブランクチェック eth_sign フィッシング

ウォレットを接続して「請求」をクリックすると、署名を求めるポップアップが表示されます。同時に、MetaMask は赤色の警告リマインダーを表示します。ただし、このポップアップから、この署名要求が何を要求しているのかを正確に把握することは不可能です。これは実際には非常に危険なタイプの署名であり、本質的にイーサリアムからの「空白の小切手」です。このフィッシングを通じて、詐欺師はあなたの秘密鍵を使用してあらゆる取引を行うことができます。

この eth_sign メソッドは、任意のハッシュに署名できます。当然、bytes32 の後に署名できます。したがって、攻撃者は、アドレスを取得し、アカウントを分析およびクエリするために接続する dApp のみを必要とします。これにより、eth_sign に署名するだけで任意のデータ (ネイティブ トークン転送、コントラクトの呼び出しなど) を作成できます。

もう 1 つのタイプのフィッシングは、前述の署名を拒否すると、MetaMask に別の署名ポップアップが自動的に表示され、油断している間に署名するようにだまされます。 SetApprovalForAll メソッドを使用して署名情報を受け取った後、「承認されたアセット」の下の「すべての NFT」に変更されます。つまり、署名すると、詐欺師はすべての NFT を無制限に盗むことができるということです。

この種のフィッシング手法は、ユーザーを非常に混乱させます。以前は、承認フィッシングに遭遇した場合、MetaMask は、攻撃者が署名を望んでいることを知らせるデータを客観的に示していました。それにもかかわらず、攻撃者が eth_sign メソッドを使用してユーザーに署名を求める場合、MetaMask は一連の bytes32 ハッシュのみを表示します。

同じ終了コード + TransferFrom ゼロ転送詐欺

ユーザーの取引履歴の下に、0USDT を転送する不明なアドレスが常に表示されます。このトランザクションは、TransferFrom 関数によっても完了します。これは主に、トークンのコントラクトで、TransferForm 関数が、承認された送金金額が 0 を超える必要があることを義務付けていないためです。したがって、0USDT の送金は、ユーザーのアカウント承認なしで正常に実行できます。悪意のある攻撃者はこの条件を悪用して、アクティブなオンチェーン ユーザーを常に標的にして TransferFrom を開始します。その結果、これにより Transfer イベントがトリガーされます。

このような 0USDT 送金による嫌がらせ以外にも、頻繁かつ大規模に取引を行うユーザーを標的とする攻撃者が伴います。彼らは常に、0.01USDT や 0.001USDT などの少量のトークンをエアドロップします。攻撃者のアドレスの末尾は、ユーザーのものとほぼ同じになります。多くの場合、ユーザーが取引履歴からアドレスをコピーすると、間違ってコピーされ、資金が失われます。

上記は、よく見られる攻撃方法と状況のほんの一例です。実際には、ハッカーや攻撃者は常に、あらゆる状況を回避する新しい方法を見つけています。したがって、彼らは常に新しい方法を考え出し、私たちの側では、常に知識を獲得し続ける必要があります。

個々のユーザーは、次の安全規則と規制に従うことで、ほとんどのリスクを回避できます。

2 つの主な安全規則:

• ゼロトラスト。簡単に言えば、常に警戒し、常に警戒を維持してください。
• 継続的な検証。信じたいなら、自分の疑問を検証し、この能力を習慣化できなければなりません。

安全規制：

• インターネット上の知識は、常に他の 2 つの参考文献と相互参照する必要があります。それらを裏付け、常に懐疑的であり続けてください。
• よく分離します。つまり、すべての卵を 1 つのバスケットに入れないようにします。
• 大切な資産があるウォレットは、安易に更新しすぎず、足りていれば十分です。
• あなたが見るものはあなたが署名するものです。あなたが見たものがあなたが署名することが期待されているものであっても、あなたがそれに署名すると、次に起こることは何か期待されるべきです.
• システムのセキュリティ更新に注意してください。新しいセキュリティ更新プログラムがある場合は、すぐに対応してください。
• 急いでプログラムをダウンロードしないでください。

それで、SlowMist の Blockchain Dark Forest Selfguard Handbook を読んでマスターすることを強くお勧めします。