DeFiセキュリティインシデントレビュー:2022年の重大インシデントの分析

2022年、Web3業界は複数の重大なセキュリティ事件に直面し、総額は430億ドルに達しました。本記事では、典型的な8つのケースを深く分析します。これらのケースのほとんどは、1億ドルを超える損失に関連しています。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー

浪人橋事件

2022年3月、Axie InfinityのサイドチェーンRonin Networkが侵害され、17.36万枚のETHと2550万USD、総価値約6.25億ドルが失われました。攻撃者は社会工学的手法を用いてSky Mavis社のシステムに侵入し、最終的に9つの検証ノードのうち5つを制御して攻撃を実行しました。この事件は、会社の従業員のセキュリティ意識の低さや内部セキュリティシステムの脆弱性などの問題を明らかにしました。

ワームホール事件

Wormholeクロスチェーンブリッジは、Solana側のコアコントラクトの署名検証コードのエラーにより、攻撃者が「ガーディアン」メッセージを偽造して包装されたETHを鋳造でき、約12万枚のETHが失われました。この問題は、廃止された関数を使用していたことに起因しており、開発者は最新バージョンを使用するように適時更新することを促しています。

ノマド橋事件

Nomadブリッジは初期設定の問題により、攻撃者が任意のメッセージを構築してロックされた資金を引き出すことができ、約1.9億ドルの損失を引き起こしました。この事件は「金の奪い合い」となり、約41のアドレスが1.52億ドルの利益を得ており、その中にはMEVボット、ハッカー、ホワイトハットハッカーが含まれています。これはオープンソースプロジェクトが直面するセキュリティの課題を浮き彫りにし、脆弱性が発生するとプロジェクトが失敗する可能性があることを示しています。

豆の木のイベント

アルゴリズム安定コインプロジェクトBeanstalkがフラッシュローン攻撃を受け、約1.82億ドルの損失を被りました。攻撃者はプロジェクト提案メカニズムの脆弱性を利用して、フラッシュローンを通じて大量の投票権を獲得し、悪意のある提案を行い、即座に実行しました。これは純粋な分散型ガバナンスメカニズムに潜むリスクを反映しており、プロジェクト側は提案の審査メカニズム、投票権の配分、およびタイムロックなどの安全対策を慎重に考慮する必要があることを示唆しています。

ウィンターミュートイベント

マーケットメイカーのWintermuteは、脆弱性のあるアドレス生成ツールProfanityを使用したため、契約所有者の秘密鍵がハッキングされ、大規模な資金損失を引き起こしました。これは、プロジェクトチームがオープンソースツールを使用する際に、十分なセキュリティ評価を行う必要があることを思い出させます。

ハーモニーブリッジイベント

Horizonクロスチェーンブリッジが1億ドル以上の損失を被った疑いがあり、これは秘密鍵の漏洩によるものとされています。分析によると、この事件は北朝鮮のハッカーグループであるLazarus Groupに関連している可能性があり、その攻撃手法はRonin Bridge事件に類似しています。

Ankrイベント

Ankrは内部の悪行に遭遇し、大量のトークンが悪意を持って鋳造され、売却され、さらには他の関連プロジェクトに影響を及ぼす連鎖反応を引き起こしました。これは、プロジェクトの権限管理、マルチシグ、内部セキュリティシステムなどの側面に深刻な欠陥が存在することを明らかにしました。

マンゴーイベント

1人のトレーダーがMangoプラットフォームの小規模通貨の流動性不足の脆弱性を利用し、通貨価格を操作して利益を上げ、プラットフォームに巨額の損失をもたらしました。この事件はセキュリティの脆弱性とアービトラージ行為の間に位置しており、プロジェクトがビジネスモデルの設計時にさまざまな極端な状況を考慮する必要があることを反映しています。

これらの事例は、Web3プロジェクトが多方面のセキュリティ課題に直面していることを警告しています。プロジェクト側は、コード監査、権限管理、ビジネスロジックなどの様々な側面からセキュリティ対策を強化する必要があります。同時に、ユーザーもプロジェクトに参加する際は注意を払い、潜在的なリスクを総合的に評価すべきです。

! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー