a16z: 一般的な攻撃タイプと Web3 セキュリティの分野で学んだ教訓の詳細な説明
原文編纂:胡涛、チェーンキャッチャー
原題:「Web3 Security: Attack Types and Lessons Learned》
原文編纂:胡涛、チェーンキャッチャー
Web3 のセキュリティの多くは、約束を果たし、人間の介入に耐えるブロックチェーンの卓越した能力に依存しています。しかし、ファイナリティに関連する特徴 (トランザクションは多くの場合取り消し不能である) により、これらのソフトウェア制御ネットワークは攻撃者にとって魅力的な標的となっています。実際、ブロックチェーン (Web3 の基盤となる分散型コンピューター ネットワーク) とそれに付随するテクノロジとアプリケーションが価値を蓄積するにつれ、攻撃者にとって切望されるターゲットになりつつあります。
web3 は以前のインターネットとは異なりますが、セキュリティのトレンド共通点。多くの場合、最大の問題はこれまでと同じです。これらの分野を研究することで、開発者、セキュリティ チーム、または暗号通貨の日常ユーザーなど、防御者は自分自身、自分のプロジェクト、ウォレットを窃盗犯からより適切に守ることができます。以下では、経験に基づいたいくつかの共通のテーマと予測を提案します。
資金を追跡する
攻撃者は通常、投資収益率を最大化することを目指します。潜在的な報酬が大きくなるため、より多くの「ロックされた合計値」または TVL を持つプロトコルを攻撃することに、より多くの時間と労力を費やすことができます。
最も機知に富んだハッカー グループは、価値の高いシステムをより頻繁にターゲットにします。また、これらの重要なターゲットを標的とした新たな攻撃も頻繁に行われています。
フィッシングなどの低コスト攻撃がなくなることはなく、近い将来、さらに一般的になることが予想されます。
バグを修正する
開発者は、実証済みの攻撃から学び、Web3 ソフトウェアのステータスを「デフォルトで安全」という点まで高める可能性があります。通常、これにはアプリケーション プログラミング インターフェイスの強化や、API、人々が誤ってバグを持ち込むのを困難にするため。
セキュリティは常に進行中ですが、防御者と開発者は、攻撃者にとって低コストの成果の多くを排除することで、攻撃コストを増加させる可能性があります。
セキュリティ対策が改善され、ツールが成熟するにつれて、ガバナンス攻撃、価格オラクル操作、再入可能脆弱性などの攻撃の成功率が大幅に低下する可能性があります。 (これらについては以下で詳しく説明します。)
「完璧な」セキュリティを確保できないプラットフォームは、損失の可能性を減らすために脆弱性を軽減する必要があります。これにより、費用対効果分析の「利益」または上向き部分が減り、攻撃者を阻止できる可能性があります。
分類攻撃
さまざまなシステムに対する攻撃は、その共通の特徴に従って分類できます。定義される特徴には、攻撃の高度さ、攻撃がどのように自動化されているか、攻撃を防御するためにどのような予防策が講じられるかが含まれます。
以下は、過去 1 年間に発生した大規模なハッキングで確認された攻撃の種類のリストです。すべてを網羅しているわけではありません。また、今日の脅威の状況に関する観察と、Web3 セキュリティが将来どこに向かうと予想されるかについても説明します。
APT の作戦: トッププレデター
高度持続的脅威 (APT) と呼ばれることが多い熟練した攻撃者は、セキュリティの悪魔です。彼らの動機と能力は大きく異なりますが、裕福で粘り強い傾向があります。残念ながら、それらはおそらく常に存在するでしょう。さまざまな APT がさまざまな種類の操作を実行しますが、これらの攻撃者は多くの場合、目的を達成するために企業のネットワーク層を直接攻撃する可能性が最も高くなります。
いくつかの高レベルのグループが Web3 プロジェクトを積極的にターゲットにしていることはわかっていますが、まだ特定されていないグループが他にもあるのではないかと考えています。最も注目を集めるAPTの背後にいる人々は、米国やEUと犯罪人引き渡し条約を結んでいない場所に住んでいる傾向があり、彼らの活動に対する訴追が困難になっている。最もよく知られている APT の 1 つは Lazarus です。FBI は最近、これまでで最大の暗号化ハッキングを実行したと発表した北朝鮮のグループです。
例:
Roninバリデーターが攻撃されました
輪郭
誰が:国民国家、資金豊富な犯罪組織、その他の高度な組織グループ。例としては、Ronin ハッカー (北朝鮮との深い関係を持つ Lazarus) が挙げられます。
複雑:高い(資源が豊富なグループのみ、通常は訴追されない国にある)。
自動化性:低 (依然として一部のカスタム ツールを使用してほとんど手動)
将来への期待:APT は、活動を収益化するか、さまざまな政治的目的を達成できる限り、活動を続けます。
ユーザーを対象としたフィッシング: ソーシャル エンジニアリング
フィッシングはよく知られた一般的な問題です。フィッシング詐欺師は、インスタント メッセージング、電子メール、Twitter、電報、Discord、ハッキングされた Web サイトなど、さまざまなチャネルを通じておとりメッセージを送信して獲物をおびき寄せようとします。スパムメールボックスを閲覧していると、パスワードなどを教えたりお金を盗んだりするよう騙そうとする試みを何百回も目にしたことがあるでしょう。
Web3 により、人々はトークンやトークンなどの資産を直接取引できるようになりました。NFT、フィッシングキャンペーンがユーザーをターゲットにしていることはほぼすぐに確信できました。知識や技術的専門知識がほとんどない人にとって、これらの攻撃は、暗号通貨を盗んでお金を稼ぐ最も簡単な方法です。それでも、組織化されたグループが高価値のターゲットを追跡したり、先進的なグループが Web サイトの乗っ取りなどを通じて広範で財布を浪費する攻撃を開始したりするための貴重な手段であることに変わりはありません。
例
ユーザーに直接OpenSea フィッシング キャンペーン
フロントエンドアプリケーション用BadgerDAO フィッシング攻撃
輪郭
誰が:スクリプト初心者から組織化されたグループまで、誰でも参加できます。
複雑:低~中 (低品質の「スプレー」または超的を絞った、攻撃者の努力に応じて)。
自動化性:中~高 (ほとんどのジョブは自動化可能)。
将来への期待:フィッシングは安価であり、フィッシング詐欺師は最新の防御策に適応して回避する傾向があるため、これらの攻撃は増加すると予想されます。ユーザーの防御は、教育と意識の向上、フィルタリングの改善、警告バナーの改善、ウォレット管理の強化によって改善できます。
サプライチェーンの脆弱性: 最も弱い部分
自動車メーカーは車両に欠陥部品を発見すると、安全リコールを発行します。ソフトウェアのサプライチェーンも例外ではありません。
サードパーティのソフトウェア ライブラリは、大きな攻撃対象領域をもたらします。これは、昨年 12 月に広く普及した Web サーバー ソフトウェアの影響など、Web3 以前からシステム間のセキュリティの課題でした。log4jエクスプロイト。攻撃者はインターネットをスキャンして既知の脆弱性を探し、悪用できるパッチが適用されていない問題を見つけます。
インポートされたコードはプロジェクト自身のエンジニアリング チームによって書かれたものではない可能性がありますが、そのメンテナンスは非常に重要です。チームはソフトウェア コンポーネントの脆弱性を監視し、アップデートが確実に展開されるようにし、依存するプロジェクトの勢いと健全性を常に把握し続ける必要があります。 Web3 ソフトウェアの悪用による実際の即時コストは、これらの問題をユーザーに責任を持って伝えることを困難にしています。ユーザーの資金を誤って危険にさらさない方法で、各チームがこの情報を互いにどのように、どこで伝達するかについては、まだ結論が出ていません。
例
Wormholeブリッジ攻撃
Multichain抜け穴
輪郭
誰が:APT、独立ハッカー、内部関係者などの組織化されたグループ。
複雑:中程度 (技術的な知識と時間が必要)。
自動化性:中程度 (欠陥のあるソフトウェア コンポーネントを自動的にスキャンできます。ただし、新しい脆弱性が発見された場合は、エクスプロイトを手動で構築する必要があります)。
将来への期待:ソフトウェア システムの相互依存性と複雑さが増すにつれて、サプライ チェーンの脆弱性が増加する可能性があります。 Web3 セキュリティ向けの脆弱性開示に対する優れた標準化されたアプローチが開発されるまでは、日和見的なハッキングも増加する可能性があります。
ガバナンス攻撃: 選挙略奪者
これは、仮想通貨業界特有の質問としてリストに載ったのは初めてです。 Web3 の多くのプロジェクトには、トークン所有者がネットワークへの変更を提案および投票できるガバナンス側面が含まれています。これは継続的な開発と改善の機会を提供しますが、実装された場合にネットワークを混乱させる可能性のある悪意のある提案を導入するバックドアも開きます。
攻撃者は、制御を回避し、指導力を剥奪し、国庫を略奪するための新しい方法を考案しました。 DeFiプロジェクトのBeanstalkで最近起こったように、攻撃者は十分な票を獲得するために大量の「フラッシュローン」を利用する可能性がある。提案が自動的に実行されるガバナンス投票は、攻撃者によって悪用されやすくなります。ただし、提案の作成に時間の遅れがある場合、または複数の当事者が手動で署名する必要がある場合(たとえば、マルチ署名ウォレットを使用する場合)、実装がより困難になる可能性があります。
例
Beanstalk資金移動イベント
輪郭
誰が:組織化されたグループ (APT) から独立したハッカーまで、あらゆる人が参加できます。
複雑:プロトコルに応じて、低から高まで。
自動化性:プロトコルに応じて、低から高まで。
将来への期待:これらの攻撃は、特に監視と提案開発プロセスに関連する場合、ガバナンス ツールと標準に大きく依存します。
オラクル攻撃の価格設定: 市場操作者
資産の価格を正確に見積もることは困難です。従来の取引の世界では、市場操作を通じて資産価格を人為的につり上げたり下げたりすることは違法であり、罰金を科せられたり、逮捕されたりする可能性があります。この問題は、ランダムなユーザーが数億ドルまたは数十億ドルを「フラッシュトレード」し、突然の価格変動を引き起こすことができるDeFi市場で明らかです。
オラクルオラクル「リアルタイム データを提供するシステムは、オンチェーンでは見つけることができない情報源です。たとえば、オラクルは 2 つの資産間の交換の価格を決定するためによく使用されます。しかし、攻撃者はこれらを欺く方法を見つけました。真実の情報源と呼ばれます。
オラクルの標準化が進むにつれて、オフチェーンの世界とオンチェーンの世界の間により安全な橋が架けられ、市場の不正操作に対する耐性がさらに高まることが期待できます。運が良ければ、そのような攻撃はいつかほぼ完全になくなるかもしれません。
例
Cream市場操作
輪郭
誰が:組織化されたグループ (APT)、独立したハッカー、内部関係者。
複雑:オートメーション:
オートメーション:高 (ほとんどの攻撃には、悪用可能な問題の自動検出が含まれる可能性があります)。
将来への期待:正確な価格設定方法がより標準化されるにつれて、おそらく低くなる可能性があります。
新しい脆弱性: 不明 不明
「ゼロデイ」エクスプロイト (発生してから 0 日しか公開されない脆弱性であるため、この名前が付けられました) は、情報セキュリティのホットなトピックであり、Web3 セキュリティも例外ではありません。突然現れるため、防御が最も困難な攻撃です。
むしろ、一度盗まれた暗号資産を取り戻すのは非常に難しいため、Web3 を使用すると、これらの高価で労働集約的な攻撃を収益化することが容易になります。攻撃者は、すべての努力を正当化するバグを見つけるために、オンチェーン アプリケーションを実行するコードを詳しく調べることに多くの時間を費やす可能性があります。その一方で、かつては斬新だったいくつかの脆弱性が、疑いも持たないプロジェクトを悩ませ続けており、初期のイーサリアム プロジェクト TheDAO で発生した有名なリエントラント バグは、他の場所でも再浮上し続けています。
業界がこの種の脆弱性のカタログ化にどれだけ迅速かつ簡単に適応できるかは不明ですが、監査、監視、ツールなどのセキュリティ防御への継続的な投資により、脆弱性を悪用しようとする攻撃者のコストが増加することになります。
例
Poly Networkクロスチェーントランザクションの脆弱性
Qubit無制限のミントエクスプロイト
輪郭
誰が:組織化されたグループ (APT)、独立したハッカー (可能性は低い)、および内部関係者。
複雑:中~高 (技術的な知識が必要ですが、すべての脆弱性が複雑すぎて理解できないわけではありません)。
自動化性:低 (新しい脆弱性の発見には時間と労力がかかり、自動化される可能性は低いです。一度発見されると、他のシステムで同様の問題をスキャンするのが容易になります)。
将来への期待:注目が高まると、より多くのホワイトハットが集まり、新たな脆弱性を発見するための「参入障壁」が高くなります。同時に、Web3 の採用が進むにつれて、ブラックハットハッカーが新たな脆弱性を発見する動機も高まります。他の多くのセキュリティ分野と同様、これはいたちごっこが続く可能性が高い。
