DeFiセキュリティインシデントレビュー:2022年の主なケーススタディ

2022年のブロックチェーン業界では、300件以上のセキュリティ事件が発生し、総損失額は430億ドルに達しました。本記事では、損失が1億ドルを超えることが多い8つの典型的なケースを詳しく分析します。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー

浪人橋事件

2022年3月、Axie InfinityのサイドチェーンRonin Networkが侵害され、17.36万ETHと2550万USDを失い、総価値は約6.25億ドルに達しました。報告によると、北朝鮮のハッカーグループLazarusがソーシャルエンジニアリング手法を使ってSky Mavisのシステムに侵入し、最終的に9つの検証ノードのうち5つを制御して攻撃を完了しました。

今回の事件は、プロジェクト側の従業員の安全意識と内部安全システムに深刻な問題があることを露呈しました。また、従来のハッカーグループや国家級の勢力が攻撃のターゲットをブロックチェーンプロジェクトにシフトし、直接的に経済的利益を得ようとしていることも反映されています。

ワームホールイベント

Wormholeクロスチェーンブリッジは、Solana側のコアコントラクトの署名検証コードにエラーが存在するため、攻撃者が「ガーディアン」メッセージを偽造してWormholeラッピングされたETHを鋳造でき、約12万枚のETHが失われました。

この問題は主に廃止された関数を使用したことに起因しています。開発者には、最新バージョンの開発ツールを使用することをお勧めします。類似の問題を避けるために。

ノマドブリッジ事件

Nomadクロスチェーンブリッジは初期設定の問題により、攻撃者が有効な取引をリプレイして資金を引き出すことができ、約1.9億ドルの損失を引き起こしました。一部のMEVボットもこの "強奪 "事件に関与しました。

このケースは、オープンソースプロジェクトに脆弱性が発生すると、簡単に悪用されることを示しています。プロジェクト側はさまざまな異常シナリオを十分に考慮し、包括的なテストを行う必要があります。

豆の木のイベント

アルゴリズム安定コインプロジェクトBeanstalkがフラッシュローン攻撃を受け、約1.82億ドルの損失を被った。攻撃者はプロジェクトのガバナンスメカニズムの脆弱性を利用し、フラッシュローンを通じて大量の投票権を取得し、悪意のある提案を通じて資金を盗んだ。

これは、非中央集権的なガバナンスメカニズムの潜在的なリスクを反映しています。プロジェクトは、提案のレビュー機構、投票のロック期間、時間ロックなどのセキュリティ対策を設定することをお勧めします。

ウィンターミュートイベント

マーケットメイカーであるWintermuteは、脆弱性のあるアドレス生成ツールProfanityを使用したため、重要な契約のプライベートキーがハッキングされ、約1.6億ドルの損失を被りました。

これは、オープンソースツールを使用する際にセキュリティリスクを十分に評価し、単一のツールに過度に依存しないようにすることを思い出させます。

ハーモニーブリッジイベント

HarmonyのクロスチェーンブリッジHorizonが攻撃を受け、1億ドル以上の損失を被った。疑わしいのは北朝鮮のハッカー組織によるものとされている。具体的な詳細は公開されていないが、攻撃手法はRonin Bridge事件に類似している可能性がある。

! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー

Ankr イベント

Ankrプロジェクトは内部の悪行に遭遇し、大量のトークンが悪意を持って鋳造されて売却され、その結果、連鎖反応が引き起こされました。

これは分散型金融エコシステムの脆弱性と内部権限管理の重要性を反映しています。安全性を強化するために、マルチシグなどのメカニズムの採用をお勧めします。

マンゴー事件

あるトレーダーが永続契約と現物市場を利用してMangoプラットフォーム上のMNGOトークンの価格を操作し、大量の借入を得て、プラットフォームに約1.15億ドルの損失をもたらしました。

これは、DeFiプロジェクトのビジネスモデル設計にも欠陥が存在し、さまざまな極端な状況を考慮する必要があることを反映しています。ユーザーとしても、小規模な通貨の取引に慎重に参加する必要があります。

! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー