十字線のクロスチェーン: ハッキングにより、より優れた防御メカニズムが求められます

2022 年は、初期の Web3 と分散型金融 (DeFi) スペースを食い物にするハッカーにとって利益の多い年でした。20億ドル相当の暗号通貨が流出 これまでにいくつかの注目を集めたハッキングで。クロスチェーン プロトコルは特に大きな打撃を受けており、Axie Infinity による 6 億 5000 万ドルの Ronin Bridge ハッキングが、今年盗まれた資金のかなりの部分を占めています。

略奪は 2022 年後半まで続き、クロスチェーン プラットフォームの Nomad では 1 億 9,000 万ドルがウォレットから流出しました。 Solana エコシステムが次の標的となり、ハッカーが約 8,000 のウォレットの秘密鍵にアクセスして、500 万ドル相当の Solana (太陽 ） とSolana Program Library (SPL) トークンが盗まれる .

deBridge Finance は8 月 8 日月曜日に試みられたフィッシング攻撃を回避する 、会社が疑うものによって使用される方法を明らかにすることは、北朝鮮のラザログループハッカーによって使用される広範な攻撃ベクトルである.ほんの数日後、Curve Finance が悪用された ハッカーがユーザーを偽の Web ページにリダイレクトするのを見たその結果、600,000 ドル相当の盗難が発生しました USD コイン (USDC ）。

複数の障害点

deBridge Finance のチームは、チーム メンバーの多くが以前に著名なウイルス対策会社で働いていたことを考慮して、Cointelegraph に対応してこれらの攻撃の蔓延に関する適切な洞察を提供しました。

共同創設者のアレックス・スミルノフ氏は、クロスチェーンの価値移転要求を満たす流動性アグリゲーターとしての役割を考えると、クロスチェーンプロトコルの標的化の背後にある推進要因を強調しました。これらのプロトコルのほとんどは、流動性マイニングやその他のインセンティブを通じて、可能な限り多くの流動性を集約しようとしています。

「大量の流動性をロックし、利用可能なさまざまな攻撃方法を不用意に提供することにより、橋はハッカーの標的になっています。」

スミルノフ氏は、ブリッジング プロトコルは、サポートされているすべてのブロックチェーンのセキュリティ モデルに依存するミドルウェアであり、それらが集約されるため、潜在的な攻撃対象領域が大幅に増加すると付け加えました。これにより、1 つのチェーンで攻撃を実行して、他のチェーンから流動性を引き出すことも可能になります。

関連している：クロスチェーン ブリッジに安全な未来はありますか?

スミルノフ氏は、Web3 とクロスチェーン スペースは初期段階にあり、チームが他の人の過ちから学ぶ反復的な開発プロセスがあると付け加えました。 DeBridge の共同創設者は、エクスプロイトがはびこっていた最初の 2 年間と同様に、これが自然な歯が生えるプロセスであることを認めました。

「クロスチェーン スペースは、Web3 のコンテキスト内でも非常に若いため、これと同じプロセスが展開されています。クロスチェーンには途方もない可能性があり、より多くの資本が流入することは避けられず、ハッカーは攻撃ベクトルを見つけるためにより多くの時間とリソースを割り当てます。」

Curve Finance の DNS ハイジャック インシデントは、悪意のある攻撃者が利用できるさまざまな攻撃方法も示しています。ビットフィネックスの最高技術責任者であるパオロ・アルドイーノ氏は、コインテレグラフに対し、業界はすべてのセキュリティ脅威に対して警戒する必要があると語った。

「この攻撃は、ハッカーの創意工夫が私たちの業界に常に存在する危険をもたらしていることを再び示しています。ハッカーがプロトコルの DNS エントリを変更し、ユーザーを偽のクローンに転送し、悪意のある契約を承認できるという事実は、警戒が必要であることを物語っています。」

潮を止める

エクスプロイトが蔓延する中、プロジェクトは間違いなくこれらのリスクを軽減する方法を検討するでしょう。攻撃者が自由に使えるさまざまな手段を考えると、答えは明確ではありません。スミルノフは「スイス チーズ モデル」を使用するのが好きです。ブリッジ プロトコルのセキュリティを概念化する場合、攻撃を実行する唯一の方法は、いくつかの「穴」が瞬間的に並ぶ場合です。

「リスクのレベルを無視できるようにするために、各レイヤーの穴のサイズは可能な限り最小にすることを目指し、レイヤーの数を最大にする必要があります。」

クロスチェーン プラットフォームに関連する可動部分を考えると、これも複雑な作業です。信頼性の高いマルチレベル セキュリティ モデルを構築するには、クロスチェーン プロトコルに関連するさまざまなリスクと、サポートされているチェーンのリスクを理解する必要があります。

主な脅威には、コンセンサス アルゴリズムとサポートされているチェーンのコードベースの脆弱性、51% 攻撃、ブロックチェーンの再編成が含まれます。検証レイヤーへのリスクには、検証者の共謀や侵害されたインフラストラクチャが含まれる可能性があります。

ソフトウェア開発のリスクも、スマート コントラクトおよびブリッジ検証ノードの主要な懸念事項の脆弱性またはバグに関するもう 1 つの考慮事項です。最後に、deBridge は、別のセキュリティ上の考慮事項として、プロトコル権限キーの侵害などのプロトコル管理リスクを指摘しています。

「これらすべてのリスクは急速に悪化します。プロジェクトは多面的なアプローチを取る必要があり、セキュリティ監査とバグ報奨金キャンペーンに加えて、さまざまなセキュリティ対策と検証をプロトコル設計自体に組み込む必要があります。」

より一般的にはフィッシング攻撃と呼ばれるソーシャル エンジニアリングも、考慮すべきもう 1 つのポイントです。 deBridge チームはこのタイプの攻撃を阻止することに成功しましたが、依然として最も攻撃的なものの 1 つです。より広いエコシステムへの蔓延する脅威 .資格情報を盗み、システムをハイジャックしようとする狡猾な試みの餌食にならないようにするには、教育と厳格な内部セキュリティ ポリシーが不可欠です。