Q4 暗号化セキュリティ事故により 7 億ドル以上の損失が発生しましたが、プロジェクト関係者やユーザーはどのようにリスクを防止、管理すべきでしょうか?

2021 年も終わりに近づいています。今年ブロックチェーン分野で発生したセキュリティ インシデントを振り返ると、最も関与し、最も影響力があったのはクロスチェーン相互運用プロトコル Poly Network が 8 月にハッキングされ、盗まれた資金は 6 億 1,000 万米ドルを超えました。 、これはDeFi史上最高額が関与した攻撃でもあります。

より多くのセキュリティインシデントと多額の金銭が発生した月は、5 月 (主に BSC で発生し、3 億米ドル以上の損失が発生) と 8 月 (Poly Network のハッキング、日本ベースの暗号化、通貨交換、Liquid ホット ウォレットのハッキングを除く) です。 、9,135万ドルの損失）と10月、11月、12月。

第 4 四半期は、今年セキュリティインシデントの発生率が最も高かった四半期でもあります。不完全な統計によると、第 4 四半期には 40 件以上のセキュリティ インシデントが発生し、さまざまな分野や種類のセキュリティ インシデントが発生し、7 億米ドル以上の損失が発生しました。副題

暗号化分野で多額の損失が発生した9件のセキュリティインシデントをレビュー

12月5日、ビットマートの創設者兼最高経営責任者（CEO）のシェルドン・シア氏は、ホットウォレットに関連する2つの大規模なセキュリティ脆弱性が発見され、ハッカーによって約1億5000万ドル相当の資産が抜き取られたとツイートした。シェルドン・シア氏は6日、今回のセキュリティ侵害は主に2つのホットウォレットからの秘密鍵の盗難が原因であると述べた。 BitMart のその他の資産は安全であり、侵害されていません。 BitMart は自己資金を使ってこの事件をカバーし、影響を受けたユーザーに補償を行う予定です。

10月27日、DeFi融資プロトコルのCream Financeが再び攻撃を受け、1億3000万ドル以上を失った。盗まれた資金は主にCream LPトークンとその他のERC-20トークンでした。 PeckShield は、この攻撃の実行に使用された多額のフラッシュローンを発見しました。(Cream Finance は 2021 年に 5 回ハッキングされ、総額約 2 億米ドルの損失がありました。)

10月30日、分散型取引プロトコルBXHがBSCチェーン上で攻撃され、1億3000万ドル以上が盗まれた。最初のハッカー利益アドレス (BSC: 0x4...d79) は、BSC チェーンから ETH チェーンに 4000 ETH を転送し、チェーン全体でアドレス (1Jw...Vow) に 300 BTCB を renBTC に変換します。

12月3日、分散型組織Badger DAOは攻撃を受けたことを確認し、約2,100BTCと151ETHを含む1億2,030万ドルの損失を出した。 BadgerDAOは、12月2日のフィッシング事件は、Badgerのクラウドネットワーク上で動作するアプリケーションプラットフォームであるCloudflareの「悪意を持って注入されたフラグメント」によって引き起こされたと述べた。ハッカーは、Badger エンジニアの知識や許可なしに作成された侵害された API キーを使用して、一部の顧客に影響を与える悪意のあるコードを定期的に注入しています。

11 月 26 日、コンパウンドはオラクル マシンによって攻撃され、9,000 万ドルの資産が清算されました。今回のコンパウンドの大規模清算は、オラクルマシンの情報源であるCoinbase ProのDAI価格の大幅な変動によって引き起こされたもので、オラクルマシンが依存する情報源を短時間操作する典型的なオラクルマシン攻撃です。誤解を招くチェーン価格を達成するまでの期間。

12月12日、AscendEXの内部セキュリティ監査報告書では、一部のERC-20、BSC、およびPolygonトークンが取引所のホットウォレットから異常に転送されており、AscendEXのコールドウォレットはこの事件の影響を受けていないことが判明した。セキュリティ会社PeckShield Inc.は、AscendEXの損失は総額7,770万ドル（イーサリアムで6,000万ドル、BSCで920万ドル、Polygonで850万ドル）に上ると推定されるとツイートした。

11月30日、自動マーケットメーカー契約のMonoXがフラッシュローン攻撃を受けたことが確認され、攻撃者はPolygonとEthereumの流動性プールを枯渇させ、約3,100万米ドルの利益を得た。

11 月 11 日、USDM チームは Convex を使用して Curve に対するガバナンス攻撃を開始し、その結果 3,000 万ドル以上の損失が発生しました。

10 月 15 日、受動的所得プロトコル Indexed Finance が攻撃され、影響を受けた資金プールには DEFI5 と CC10 が含まれていました。同関係者はDiscordで、今回の攻撃による被害額は約1600万ドルだったと述べた。

イベント再開後の感想まとめ

攻撃されたプロジェクトの軌跡から判断すると、そのほとんどは集中型取引所やDEXなどのDeFiプロトコルであり、主な原因はウォレットの脆弱性、フラッシュローン攻撃、フィッシング事件などです。

プロジェクト当事者として、セキュリティへの予算や投資（技術面や財務メカニズムを含む）の強化、複数当事者による監査の受け入れに加え、リスク管理や災害復旧計画の策定（保険基金プールの確立、ホワイトハットなど）報酬プランなど）「信用」の役割を果たすことができます。

ユーザーとしては、まず、いくつかの基本的な市場パラメーター (利回りなど) の平均レベルを一般的に理解し、より警戒して、魅力的すぎるプロジェクトを検討することが最善です。コーディング能力がない場合は、大手セキュリティ会社が発行した対応するプロジェクト監査レポートを読んで、特定の潜在的なリスク ポイントを提示することが多く、プロジェクト関係者間でレポートの信頼性と適時性をクロスチェックすることをお勧めします。とその監査機関も、ここで小さなツールを共有しています。DeFiYieldのDeFiプロジェクト監査データベースでは、プロジェクト名、通貨名、住所、または監査機関で監査レポートを検索およびクエリできます。

もう一つは、インターネット時代にも共通する予防意識を持ち、偽サイトフィッシングや通信詐欺、逃亡の危険などに注意することだ。参加しているプロジェクトの最新の進捗状況には常に注意し、公式通知チャネル (公式 Web サイト、Twitter など) やコミュニティ (Discord、TG など) を毎日チェックしてください。 、サービスの停止、脆弱性の警告、または事故の開示については、情報を入手してすぐに行動を起こすこともできます。

推奨読書

推奨読書

Chainlink - 「プロジェクト開発者必読: DeFi セキュリティ問題の解決策トップ 10」

成都連南市 -「分析 DeFi がハッカーにとっての「現金自動支払機」になったとき、そのセキュリティをどのように確保すればよいでしょうか? 」

Odaily - 「警備会社の責任者と話し合っていますが、なぜ負傷者はいつも鎖橋を渡っているのですか？」 」

Odaily - 「DeFiのダークサイド - HackFi」