先週、私たちは「 2023ブロックチェーンセキュリティとアンチマネーロンダリングに関する年次報告書」を発表しました。次は、読者が現在のブロックチェーンエコシステムにおける主要なセキュリティ上の課題と機会について、より包括的かつ深く理解できるよう、報告書の主要な内容を4つの記事に分解し、解き明かします。
この記事では、ブロックチェーンエコシステムのセキュリティ態勢に焦点を当てています。
ブロックチェーンセキュリティの状況
マクロおよび地政学的緊張という形で世界経済に与える影響とともに、残留2022年のさまざまなブロックチェーン業界もまた、信じられないような激動に見舞われている。昨年、多くの暗号通貨に優しい銀行が崩壊し、北朝鮮のハッカーLazarus Groupや複数のフィッシング集団Wallet Drainesが引き起こした一連のセキュリティ攻撃と相まって、ユーザーのセキュリティ意識の欠如や不十分な規制政策がさらに浮き彫りになりました。
SlowMist Hackedによると、2023年には464件のセキュリティインシデントが発生し、損失額は24億8600万ドルに上った。303件のセキュリティインシデントが発生し、約37億7700万ドルの損失が発生した2022年と比較すると、2023年の損失は前年比34.2%減少し、セキュリティインシデントの件数は前年比約53.13%増加した。損失の減少にもかかわらず、セキュリティインシデントの件数は増加傾向にある。
![](https://img.jinse.cn/7162856_image3.png)
次に、プロジェクトの軌跡、生態、事象の原因について見ていきます。そして、2023年のブロックチェーンセキュリティ態勢について説明します。
プロジェクトトラック
プロジェクトトラックの観点から見ると、DeFiは最もセキュリティインシデントが多く、損失も大きい分野です。DeFiの発展は、新たな技術革新と機会をもたらすだけでなく、より多くの潜在的なリスクと攻撃表面をもたらします。また、DeFiプロジェクトは一定の資本規模とユーザーベースを持っているため、ハッカーの潜在的な標的にもなりやすいのです。
2023年のDeFiセキュリティインシデント件数は282件で、インシデント件数全体の60.77%を占め、損失額は7億7300万ドルでした。 2022年(インシデント件数183件、損失額~20億7500万ドル)と比較すると、2023年のDeFiセキュリティインシデント件数は、損失額が62.73%減少する一方で、54.7%増加しました。しかし、インシデントの件数は54.64%増加しており、DeFi空間がセキュリティ問題の予防と対処において依然として深刻な課題に直面していることを浮き彫りにしています。
![](https://img.jinse.cn/7162857_image3.png)
(2023 Security Incidents Distribution of Security Incidents and Losses by Track)
(2023 Security Incidents Distribution of Security Incidents and Losses by Track)
![](https://img.jinse.cn/7162858_image3.png)
(2022年および2023 DeFiセキュリティイベント分布と損失比較チャート)
生態
生態学的には、イーサリアムは多くのスマートコントラクトや分散型アプリケーションに選ばれるプラットフォームです。多くのスマートコントラクトや分散型アプリケーションに選択されるプラットフォームであるため、ハッカーの主な標的となり、4億8700万ドルという最大の損失を出した。イーサ上でスケールするレイヤー2ソリューションであるポリゴンもまた、大規模なセキュリティ脅威に直面し、エコシステム上で6件のセキュリティインシデントが発生し、1億2300万ドルの損失を被った。その中には、BonqDAOのスマートコントラクトの脆弱性により、アンマネージドレンディングプラットフォームであるBonqDAOと暗号インフラプラットフォームであるAllianceBlockがハッキングされ、約1億2000万ドルの損失を被ったものも含まれる。その結果、約1億2000万ドルの損失が発生した。
![](https://img.jinse.cn/7162859_image3.png)
(2023 セキュリティインシデントとエコシステム全体での損失の分布))
事件の原因
![](https://img.jinse.cn/7162860_image3.png)
(2023年セキュリティインシデント操縦図)
![](https://img.jinse.cn/7162863_image3.png)
(2023 by生態学的な暴走現象の分布と損失)
![](https://img.jinse.cn/7165249_image3.png)
(2023年暴走トップ10の損失額)インシデントと損失)
2023年には契約の脆弱性による攻撃のインシデントが57件発生し、約7582万ドルの損失が発生したが、契約の脆弱性を悪用した攻撃はフラッシュレンディング攻撃や価格操作などの手口を伴うことが多い。2023年には、34件のハッカーによるフラッシュ攻撃があり、約2億2500万ドルの損失が発生し、14件の価格操作攻撃があり、約1億4000万ドルの損失が発生しました。
契約の脆弱性は、多くの場合、契約コードのレビューが不十分であることに関連しており、継続的に監査されるべきです。そして、開発チームは安全な開発のためのベストプラクティスを採用すべきである。 Slow Fogのセキュリティ・チームはスマート・コントラクトのセキュリティ監査スキル・ツリーをGithubで公開している(https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor)、Web3プロジェクトのセキュリティ実践要件(https://github.com/slowmist/Web3-Project-Security-Practice-Requirements)、 Solanaスマートコントラクトセキュリティのベストプラクティス(https://github.com/slowmist/solana-smart-contract-security-best-practices)に掲載されています。興味のある方はぜひGithubに移動してお読みください。
2023年、あらゆる対象のアカウントがハッキングされたセキュリティインシデントの数は70件に達し、Web3の熱い成長とともに、ユーザーやプロジェクトオーナーに対する攻撃は多数発生しています。Web3の加熱に伴い、ユーザーやプロジェクトオーナーに対する攻撃が急増しており、特にDiscordやTwitterなどのメディアプラットフォームに対する攻撃が急増している。
ハッカーはしばしば管理者やアカウントにアクセスし、管理者になりすましてフィッシングリンクを投稿し、ユーザーを騙して資産の譲渡を許可させます。プロジェクト・オーナーは、アカウントを保護するために2要素認証や強力なパスワードの設定などのセキュリティ運用を利用し、さまざまな従来型のサイバー攻撃やソーシャル・エンジニアリング攻撃に警戒することをお勧めします。
JPEX スキャンダルは香港史上最大の金融詐欺事件となる可能性がある。align: left;">おすすめ
プロジェクト側:
個人ユーザーの場合、以下のセキュリティに関する法律や原則を守ることで、ほとんどのリスクを回避することができます:
二要素認証を利用する。
2つの主要なセキュリティ法:
安全原則:
インターネット上の知識、何事も少なくとも2つの情報源を参照し、互いに裏付けを取り、常に懐疑的になること。
棲み分けをしっかりすること、つまり、卵を1つのカゴに入れないこと。
重要な資産で財布を安易に更新せず、やりくりするのに十分なものだけにする。
目に見えるものはサインするもの。つまり、目に見えるものは、あなたが署名することを期待するものであり、署名して送信するとき、その結果はあなたが期待するものであるべきであり、決して後付けであってはならない;
システムのセキュリティアップデートを重視し、利用可能になったらすぐに行動する;
システムのセキュリティアップデートに注意する。li>
プログラムに手を出さない。
『ブロックチェーン・ダークフォレスト自助マニュアル』を読んでマスターすることをお勧めします(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)。/blob/main/README_CN.md)を読んでマスターすることをお勧めします。
レポート全文のダウンロード:
https://www.slowmist.com/report/2023-ブロックチェーン-セキュリティ-アンド-AML-年次報告書(CN).pdf