過去 2 年間の暗号化業界のハッキング事件トップ 20 のレビュー

仕上げ: クッキー、チェーンキャッチャー

3月末、有名なチェーンゲームAxie InfinityのサイドチェーンネットワークであるRonin Networkがハッキング事件で約6億2,000万ドルの資産を失い、これまでで最も深刻なDeFiハッキング攻撃となり、セキュリティに対する国民の懸念がさらに深まった。暗号化された世界。

過去 2 年間、暗号化業界に巨額の資金が流入し続けていますが、そのセキュリティは依然として非常に脆弱であり、集中型取引所や DeFi プロジェクトからの多くのコードの抜け穴がハッカーによって繰り返し攻撃されています。さまざまなセキュリティインシデントなどのレベルが急速に高まっています。

SlowMist の統計によると、2021 年のブロックチェーン セキュリティ インシデントは、231 件のセキュリティ インシデントを含む累積損失 98 億米ドル以上をもたらしました。損失のかなりの部分はプロジェクト当事者によって回収または補償されましたが、暗号化業界はまだ重傷を負っている。

副題

1. Ronin Network、6億2,400万ドル

2022年3月29日、Roninはクロスチェーンブリッジがハッキングされ、17万3,600ETHと2,550万USDC（累計約6億2,000万米ドル）が盗まれたと公式に発表した。

関係者は、プロジェクトが盗難された理由は、5人の検証者の秘密鍵が盗まれたことであると述べた。昨年 11 月、Sky Mavis と Axie DAO は、ユーザーコストの削減を当初の目的としてガスフリー RPC ノードを設立しましたが、そのためには Axie DAO が Sky Mavis バリデーターになる必要がありました。RPC ノードは 1 か月間しか持続しませんでしたが、ホワイトリスト アクセスはしたがって、攻撃者は Axie DAO 署名を盗み、5 人の検証者の合意を集め、それを秘密鍵に置き換えて偽の引き出しを偽造する機会を得ることができます。

副題

2. Poly Network、6 億 1,100 万ドル

2021年8月10日、イーサリアム、BSC、ポリゴン上のクロスチェーン相互運用プロトコルPoly Networkによって展開されたスマートコントラクトが同時にハッキングされ、6億1,000万米ドル以上相当の資産が盗まれました。

SlowMist チームの分析によると、攻撃者は特定の関数を使用して慎重に構築されたデータを渡し、EthCrossChainData コントラクトのキーパーを変更し、キーパーの役割のアドレスを置き換えた後、攻撃者は自由にトランザクションを構築し、任意の金額を引き出すことができます。契約からの資金の。

副題

3. ワームホール、3億2,600万ドル

今年2月3日、クロスチェーンプロトコルのワームホールがハッキングされ、当局はこの攻撃で12万ETH（約3億2,600万ドル）が失われたことを確認した。

調査によると、このインシデントの脆弱性は、Solana 側のコア ワームホール コントラクトの署名検証コードにエラーがあり、攻撃者が「ガーディアン」からのメッセージを偽造して whETH を鋳造できることです。攻撃者は、Solana 上で無限に鋳造された whETH (Wormhole ETH) 相当物を通じて、ワームホールを通じて 120,000 本物の ETH をイーサリアムに転送しました。

副題

4. ビットマート、1億9,600万ドル

2021年12月5日、暗号化取引プラットフォームBitMartのイーサリアムとBSCホットウォレットから約1億9,600万米ドルが盗まれ、そのうちイーサリアムでは約1億米ドル、BSCでは約9,600万米ドルが盗まれました。

攻撃者は、BitMartの資金をホットウォレットから自分のウォレットに移し、大部分の通貨を1inchを通じてETHとBNBに取引し、その後TornadoCashを通じて通貨を混合し、最終的には逃走したことがわかっています。

副題

5. バルカン・フォージド、1億4,000万ドル

副題

6. クリーム・ファイナンス、1億3,000万ドル

2021年10月27日、住宅ローン融資プラットフォームのクリーム・ファイナンスがフラッシュ・ローン攻撃を受け、約1億3,000万米ドルの損失が発生した。

この攻撃は経済攻撃とオラクル マシン攻撃を組み合わせたものであることが理解されています。攻撃者はすぐに MakerDAO から DAI を貸し出して、大量の yUSD トークンを作成しました。高値を超えた後、攻撃者の yUSD ポジションが増加し、それを相殺するのに十分な借入制限が作成されました。 Cream Ethereum v1市場の流動性。

副題

7. アナグマ 1億2000万ドル

2021 年 12 月 2 日、Badger ユーザー インターフェイスがハッキングされ、悪意のあるウォレット リクエストが埋め込まれ、合計約 2,100 BTC と 151 ETH、つまり約 1 億 2,000 万ドルの損失が発生しました。

この事件は、Badger のクラウド ネットワーク上で実行されているアプリケーション プラットフォームである Cloudflare の「悪意を持って注入されたフラグメント」によって引き起こされたフィッシング攻撃でした。ハッカーは、Badger エンジニアが作成した破損した API キーを、本人の知識や許可なしに使用して、悪意のあるコードを定期的に挿入し、ユーザーのウォレットの無制限の承認のアノテーションを取得します。

副題

8. Qubit Finance、8,000万ドル

2022 年 1 月 28 日、BSC 融資プロジェクトである Qubit がハッキングされた疑いがあり、ハッカーは大量の xETH 担保を鋳造し、資金プールから約 8,000 万ドルの資産を盗みました。

この攻撃の主な理由は、通常のトークンとネイティブ トークンのリチャージが別々に実装されている場合、ホワイトリスト内のトークンを転送するときに、それらが 0 アドレスであるかどうかを再度チェックしなかったため、ネイティブを通じて行われるべきリチャージ操作が発生したことです。の関数は、通常のトークン リチャージ ロジックをスムーズに通過できます。

副題

9. AscendEX、7,700万ドル

2021年12月12日、仮想通貨取引所AscendEXのイーサリアム、BSC、ポリゴンのホットウォレットが盗難、または7,700万米ドルを超える資産が盗難されました。

副題

10. EasyFi、5,900万ドル

2021年4月20日、レイヤー2 DeFi融資契約EasyFiの創設者アンキット・ガウル氏は、プロトコルの流動性プールからステーブルコインで600万ドルと298万のEASYトークンが送金され、総額約5900万ドルの損失が発生したと述べた。

プロジェクトが盗まれたのは、管理者の MetaMask ニーモニックフレーズキーがリモート攻撃され、EasyFi スマートコントラクトがハッキングされなかったためであることがわかります。 EasyFi は Binance チームと AscendEx チームに連絡しましたが、ハッカーはウォレットからトークンを転送しておらず、流動性の制約により DEX で販売できませんでした。

副題

11. ウラン・ファイナンス、5,700万ドル

2021年4月28日、バイナンス・スマート・チェーンのAMMプロトコルであるウラニウム・ファイナンスは、移行プロセス中にウラニウムが攻撃され、損失は約5,700万米ドルに達したとツイートした。

この問題は、Uranium プロジェクトのペア契約で発生したものであることが判明しており、契約ロジックのスワップ機能部分は、フラッシュ ローンによる資金の貸し出しを可能にする PancakeSwap のロジックを参照しています。しかし、定積積式に従って契約残高をチェックする関数では、精度の処理誤差が問題となり、最終的に契約で計算される残高が実際の契約残高の100倍になってしまうという問題がありました。攻撃者がフラッシュ ローンを利用して借入を行った場合、融資額の 1% を返還するだけで審査に合格し、残りの 99% を盗むことになり、プロジェクトの損失が発生します。

副題

12. bZx、5,500万ドル

2021 年 11 月 6 日、Polygon チェーンと BSC チェーンの分散型融資プロトコル bZx により、秘密鍵の漏洩により 5,500 万ドルを超える資産が盗難されました。

副題

13. カシオ、4,800万ドル

2022年3月23日、Solanaエコロジーアルゴリズムのステーブルコインであるカシオは、ユーザーに対し、トークンを鋳造せず、できるだけ早くプールから資金を引き出すよう警告するツイートをした。プロトコルには無限ミントのバグがあり、約 4,800 万ドルの損失が発生しました。

カシオドルは、USDT-USDC LP トークンによってサポートされるアルゴリズムのステーブルコインであり、ハッカーは未認証のアカウントをバイパスすることにより、20 億の CASH トークンを違法に発行し、CASH トークンを UST、USDC、USDT-USDC LP に変換し、利益の総額は約 48 ドルになります。 100万米ドル。

副題

14. パンケーキバニー、4,600万ドル

2021年5月20日、バイナンス・スマート・チェーンBSCの収益アグリゲーターであるパンケーキバニーが攻撃を受けた疑いがあり、約4600万ドルを失った。

これは典型的なライトニング ローン攻撃です。重要な点は、WBNB-BUNNY LP の価格計算に欠陥があり、BunnyMinterV2 契約によって鋳造された BUNNY の量がこの欠陥のある LP 価格計算方法に依存しており、最終的に攻撃者はこの欠陥のある LP 価格計算方法を使用することになります。 WBNB を操作するための電光石火の融資 - BUNNY プールは LP の価格を引き上げ、BunnyMinterV2 契約により攻撃者に大量の BUNNY トークンを鋳造させました。

副題

15.クーコイン、4,500万ドル

2020年9月20日、Kucoinホットウォレットが攻撃され、2億8,000万米ドル以上の損失が発生しました。

副題

16. Secretswap、4,000万ドル以上

2021 年 9 月 14 日、プライバシー パブリック チェーン Secret Network をベースとした DEX プロジェクト Secretswap がハッキングされ、流動性プールの 4,000 万ドル以上がハッカーによって引き出しられました。事件後、プロジェクトはクロスプラットフォームの使用を一時停止しました。 Secretswap と Secret Network の間のチェーン ブリッジ。ハッカーが資産をクロスチェーン ブリッジからイーサリアム ネットワークに転送するのを防ぎます。

事後調査により、この侵害には SecretSwap 報酬ステーキングに関連する 1 つの LP 契約が関与しており、盗まれた資金はネットワークから流出しておらず、ブリッジ/トークン契約は攻撃されておらず、ネットワーク自体は攻撃されていないことが明らかになりました。

副題

17. アルファ・ファイナンス、3,700万ドル

2021年2月13日、Alpha Finance Labは公式Twitterで、ハッカーがAlpha Homora V2の脆弱性を利用してIron Bank（Cream V2）からETH、DAI、USDC、その他の資産を貸し出し、Alpha Homora v2とCream v2の間に負債が生じたと発表した。関係により、約3,700万ドルの損失が発生しました。

副題

18. Vee Finance 3,700万ドル

2021年9月21日、Avalancheエコロジー融資プラットフォームのVee Financeスマートコントラクトが攻撃され、約3,700万米ドルの損失が発生しました。

この脆弱性の主な理由は、ユーザーがレバレッジ取引注文を作成するときに、オラクルが価格フィード ソースとしてパンゴリン プールの価格のみを使用し、このプールの価格が 3% 以上変動することであると理解されています。オラクルは価格を更新し、攻撃者がセンザンコウのプールの価格を操作できるようにします。しかし、Vee Finance オラクル マシンの価格が操作され、買収オラクル マシンの価格が小数として処理されなかったため、スワップ前の期待されたスリッページ チェックが機能しなくなりました。

副題

19. Crypto.com 3,300万ドル

2022年1月18日、仮想通貨取引所Crypto.comの一部アカウントがハッキングされた疑いがあり、約3,300万米ドルの損失が発生した。

ハッカーは既存の2FA認証を回避して出金ホワイトリストとなり、合計483のアカウントがクラッキングされ、4836個のETHと444個のビットコインが盗まれ、ETHは通貨混合のためにTornado Cashに送られたことがわかっています。

副題

20. MonoX Finance 3,100万ドル

2021年11月30日、自動マーケットメーカープロトコルMonoXがフラッシュローン攻撃を受け、イーサリアムとポリゴン上の約3,100万ドル相当の仮想通貨がハッカーによって盗まれた。

攻撃者はスワップ契約を利用して MONO の価格を高騰させ、その後 MONO を利用してプール内の他のすべての資産を購入したと考えられています。

その後、プロジェクトチームは、盗まれたすべての資産に対して債務トークン dMONO を発行し、dMONO 保管庫を展開し、その収益を使って MONO を買い戻し、MONO をこの保管庫に送り、dMONO 保有者はいつでもそれらを破壊できると述べました。 dMONO がやって来て、保管庫から出るために MONO を取得しますが、ユーザーが未払い額に達する前に dMONO を引き出すことを選択した場合、残りの負債が免除されることを意味します。

さらなる統計によると、これらのセキュリティ インシデントによる累積損失は数十億ドルに達しましたが、盗まれたプロジェクトのほとんどのユーザーは損失を全額補償され、その中で、Poly Network と Secretswap の盗まれた資産はすべて回復され、Wormhole とその他の 8当初の通貨補償金はプロジェクト当事者が支払い、残りのプロジェクトの大部分はプロジェクトが独自のトークンの形で支払ったが、トークン価格の下落により、実際の補償額は損失額を下回ったUranium Finance だけがユーザーに補償をしませんでした。

このことから、ハッカー攻撃は想像ほどひどいものではないことがわかります。重要なのは、プロジェクト当事者のリソース背景とユーザーに対する責任感です。暗号通貨ユーザーは、慎重になりながらも、強いプロジェクトに参加することを優先する必要があります」このプラットフォームでは、資金の安全性を確保するために、関連する投資およびマイニング活動が自らの許容範囲内で実行されます。