大組織は本当に安全なのでしょうか? Binance、KuCoin、Jumpのメインウォレットの契約認可リスクの解釈
出典: Dilation Effect と Wu Shuo Blockchain が共同リリース
主流の取引所や機関は、間違いなくネットワーク セキュリティ保護に多大な資金と人材を投資しています。Dilation Effect は、これらの機関の内部セキュリティ レベルや実装の詳細を知ることはできません。アドレスの簡単な分析を行い、ミクロ知識を確認し、次のことを検討してください。これらのアドレスには、一般ユーザーの観点から見た潜在的なセキュリティ リスクがあり、その潜在的なリスクがどれほど大きいかがわかります。
このフラッシュ レビューのデータは、Etherscan や Debank などの公共サービスから取得されています。
1. 解析対象の選択
Etherscan のトップ 1000 アカウントをチェックし、そこにタグ付けされている機関のアドレスを見つけてください。
2. 解析次元の選択
ウォレットを生成および管理するこれらの取引所や機関の技術的な詳細がわからないため、アドレスのセキュリティをどのように分析すればよいでしょうか?今回 Dilation Effect が選択した次元は、これらのアドレスの契約認可を分析することです。
悪意のあるコントラクトによってアドレスが詐取されたり、認可されたコントラクトに抜け穴があったりするため、コインを盗むことは非常に一般的な攻撃です。認証の量を制限し、定期的に認証をクリアすることがセキュリティのベストプラクティスとなっています。では、これらの大きな取引所のアドレスはどうなっているのでしょうか? 私たちは分析のためにランダムにいくつかのアドレスを選択します。
ケースその1
住所:
Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC)
これはバイナンスで最も残高が多いウォレットアドレスで、ETHチェーンの残高は100億米ドル、他のチェーンを合わせると合計161億米ドルになります。いくつかのアセットのスクリーンショットは次のとおりです。
ETH チェーン内のこのアドレスの契約承認を確認すると、32 億ドルのリスクがあることがわかります。もちろん、これは決定的なセキュリティ リスクが存在する必要があるという意味ではなく、これは潜在的なリスクにさらされる可能性を説明するものにすぎません。
次に、このアドレスがどのように承認されるか (どの通貨でどの契約が承認されるか、承認される金額はいくらかなど) を見てみましょう。クエリ結果の一部を以下に抜粋します。
このとき、奇妙な現象が見つかります。つまり、このアドレスの一部の通貨では承認額が制限されていますが、一部の通貨には直接制限がなく、承認額のルールが統一されていないように見えます。特に残高の大きいBUSD、Matic、SHIB、SANDに注目します。アドレス残高は19億米ドル、4億6,000万米ドル、2億6,000万米ドル、1億4,000万米ドルです。関連する認可レコードは次のとおりです。以下に続きます:
ここには明らかな問題がいくつかあります。
1 つは、契約の承認が定期的にクリーンアップされていないことです。たとえば、BUSD の契約承認は 2 年以上クリーンアップされていません。これは、注目されていないか、不要であると考えられているかのいずれかです。これは、Binance が内部セキュリティ管理の観点からこの分野を体系的にカバーしていないことを示しています。関連する認可契約を分析した結果、これらの契約で実行できる操作は限られており、比較的安全であることが判明したと言う人もいるかもしれません。しかし、私たちが言いたいのは、これは純粋に技術的な問題ではなく、むしろセキュリティ管理の問題であるということです。つまり、バイナンスは、ここで第三者との契約によってもたらされるリスクをどのように包括的かつ体系的に管理するのかということですが、それをより厳密かつ徹底的に行うことができると考えています。実際、よく見てみると、Aave: Lending Pool V2 はアップグレード可能なプロキシ コントラクトであることがわかります。Aave コントラクトが攻撃された場合、19 億米ドルの損失が発生します。
第二に、多くの通貨の認可額に制限がありません。対応する契約が攻撃されるような極端な状況が発生した場合、許可される金額が制限されていれば、リスクはそれに応じて軽減されます。これはまた、Binance が内部セキュリティ管理の観点からシステムの網羅性を欠いていることを明らかにしています。もちろん、これは極端な状況だと言うかもしれませんが、仮想通貨業界にとっては、歴史上、確率の低い出来事が数多く起こってきました。私たちはリスク感度を高める必要があり、極度のリスク回避を維持することが非常に必要です。
3 つ目は、通貨認可ルールが統一されておらず、通貨によっては割り当て制限が設けられている場合もあれば、割り当て制限がまったくない通貨もあり、対応も均一ではありません。これは、Binance の内部セキュリティ管理業務が明確でないか、内部チームの分業が適切に行われていないことを示しています。
また、非常に興味深いのは、なぜこれほど巨額の資産残高を持つアドレスがDefi契約の運営に頻繁に参加しているのかということです。 Binance はより詳細なアドレス計画と分離設計を行うことができますか?
ケース2
住所:
Kucoin 6 (0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)
これはKucoin取引所のアドレスで、そのETHチェーンには17億ドル、他のチェーンには合わせて19億ドルが保有されています。このアドレス アセットのスクリーンショットは次のとおりです。
ETH チェーン内のこのアドレスの契約承認ステータスを確認すると、11 億米ドルのリスクがあることがわかります。繰り返しますが、これは特定のセキュリティ リスクがあることを意味するものではなく、潜在的なリスクにさらされる可能性を説明しているだけです。
次に、Kucoinアドレスの認可を見てみましょう。
おお!またまた面白いものを見つけました。
1. このアドレスの APE 通貨は、2022 年 4 月 2 日にマルチチェーンのクロスチェーンルーター契約に承認されました。数日前にマルチチェーンで不可抗力事象が発生したことを知っておく必要がありますが、Kucoin はすぐにマルチチェーン契約の承認をキャンセルしませんでした。これは、Kucoin がリスク緊急時対応においてまだ改善の余地があることを示しています。
2. このアドレスの USDT (5 億米ドル)、USDC (2 億 9,000 万米ドル)、および KCS (4 億 8,000 万米ドル) はすべて Bridge という名前の契約に認可されており、認可された金額は完全に無制限です。簡単な分析の結果、BridgeはKuCoinコミュニティチェーンKCCのクロスチェーンブリッジ契約であることが判明しましたが、KCCの公式Webサイトを確認して検索した結果、関連するセキュリティ監査レポートが見つからず、人々は再びパニックになりました。 BNBチェーンに対する200万BNB攻撃をまだ覚えていますか?
ケース3
住所:
Jump Trading (0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)
これは、代理店 Jump Trading の住所です。同社の ETH チェーンには 1 億 4,000 万ドル、他のチェーンには合計 1 億 5,000 万ドルの資産があります。このアドレス アセットのスクリーンショットは次のとおりです。
ETH チェーン内のこのアドレスの契約承認を確認すると、2,500 万ドルのリスクがあることがわかります。繰り返しますが、これは特定のセキュリティ リスクがあることを意味するものではなく、潜在的なリスクにさらされる可能性を説明しているだけです。
次に、Jump Trading のアドレスの承認を見てみましょう
このアドレスの通貨に対する承認はそれほど多くなく、ほとんどの承認にはクォータ制限があり、全体的な管理は悪くないことがわかります。
要約する
要約する
このフラッシュレビューはここで終わります。 Dilation Effect では、複数の取引所および機関のアドレスをランダムに抽出して分析しましたが、その結果から判断すると、これらの機関は契約認可の点で完全ではありませんので、関係機関の参考になれば幸いです。アドレスを抽出していない取引所や機関も、上記の分析プロセスを参照して、同様の問題が存在するかどうかを確認できます。
