Solidity语言闪电贷安全风险研究
JinseFinanceログイン/ 登録
レポート解釈 2023年ブロックチェーンのセキュリティ展望
従う
先週、私たちは「 2023ブロックチェーンセキュリティとアンチマネーロンダリングに関する年次報告書」を発表しました。次は、読者が現在のブロックチェーンエコシステムにおける主要なセキュリティ上の課題と機会について、より包括的かつ深く理解できるよう、報告書の主要な内容を4つの記事に分解し、解き明かします。
この記事では、ブロックチェーンエコシステムのセキュリティ態勢に焦点を当てています。
ブロックチェーンセキュリティの状況
マクロおよび地政学的緊張という形で世界経済に与える影響とともに、残留2022年のさまざまなブロックチェーン業界もまた、信じられないような激動に見舞われている。昨年、多くの暗号通貨に優しい銀行が崩壊し、北朝鮮のハッカーLazarus Groupや複数のフィッシング集団Wallet Drainesが引き起こした一連のセキュリティ攻撃と相まって、ユーザーのセキュリティ意識の欠如や不十分な規制政策がさらに浮き彫りになりました。
SlowMist Hackedによると、2023年には464件のセキュリティインシデントが発生し、損失額は24億8600万ドルに上った。303件のセキュリティインシデントが発生し、約37億7700万ドルの損失が発生した2022年と比較すると、2023年の損失は前年比34.2%減少し、セキュリティインシデントの件数は前年比約53.13%増加した。損失の減少にもかかわらず、セキュリティインシデントの件数は増加傾向にある。
次に、プロジェクトの軌跡、生態、事象の原因について見ていきます。そして、2023年のブロックチェーンセキュリティ態勢について説明します。
プロジェクトトラック
プロジェクトトラックの観点から見ると、DeFiは最もセキュリティインシデントが多く、損失も大きい分野です。DeFiの発展は、新たな技術革新と機会をもたらすだけでなく、より多くの潜在的なリスクと攻撃表面をもたらします。また、DeFiプロジェクトは一定の資本規模とユーザーベースを持っているため、ハッカーの潜在的な標的にもなりやすいのです。
2023年のDeFiセキュリティインシデント件数は282件で、インシデント件数全体の60.77%を占め、損失額は7億7300万ドルでした。 2022年(インシデント件数183件、損失額~20億7500万ドル)と比較すると、2023年のDeFiセキュリティインシデント件数は、損失額が62.73%減少する一方で、54.7%増加しました。しかし、インシデントの件数は54.64%増加しており、DeFi空間がセキュリティ問題の予防と対処において依然として深刻な課題に直面していることを浮き彫りにしています。
(2023 Security Incidents Distribution of Security Incidents and Losses by Track)
(2023 Security Incidents Distribution of Security Incidents and Losses by Track)
(2022年および2023 DeFiセキュリティイベント分布と損失比較チャート)
生態
生態学的には、イーサリアムは多くのスマートコントラクトや分散型アプリケーションに選ばれるプラットフォームです。多くのスマートコントラクトや分散型アプリケーションに選択されるプラットフォームであるため、ハッカーの主な標的となり、4億8700万ドルという最大の損失を出した。イーサ上でスケールするレイヤー2ソリューションであるポリゴンもまた、大規模なセキュリティ脅威に直面し、エコシステム上で6件のセキュリティインシデントが発生し、1億2300万ドルの損失を被った。その中には、BonqDAOのスマートコントラクトの脆弱性により、アンマネージドレンディングプラットフォームであるBonqDAOと暗号インフラプラットフォームであるAllianceBlockがハッキングされ、約1億2000万ドルの損失を被ったものも含まれる。その結果、約1億2000万ドルの損失が発生した。
(2023 セキュリティインシデントとエコシステム全体での損失の分布))
事件の原因
(2023年セキュリティインシデント操縦図)
2023年には117件のセキュリティインシデントが発生し、プロジェクトオーナーの逃亡につながった。2023年には合計117件のセキュリティ・インシデントが発生し、約8300万ドルの損失をもたらしました。このうち、ベース・エコの損失額が最も高く、3,250万ドルでした。次いでBSCエコの2,305万ドルだった。
(2023 by生態学的な暴走現象の分布と損失)
投資家は通常、プロジェクトの当事者が暴走した後に損失を回復することが困難である。例えば、プロジェクト側がプロジェクトにバックドアのコードを残すなどだ。
(2023年暴走トップ10の損失額)インシデントと損失)
2023年には契約の脆弱性による攻撃のインシデントが57件発生し、約7582万ドルの損失が発生したが、契約の脆弱性を悪用した攻撃はフラッシュレンディング攻撃や価格操作などの手口を伴うことが多い。2023年には、34件のハッカーによるフラッシュ攻撃があり、約2億2500万ドルの損失が発生し、14件の価格操作攻撃があり、約1億4000万ドルの損失が発生しました。
契約の脆弱性は、多くの場合、契約コードのレビューが不十分であることに関連しており、継続的に監査されるべきです。そして、開発チームは安全な開発のためのベストプラクティスを採用すべきである。 Slow Fogのセキュリティ・チームはスマート・コントラクトのセキュリティ監査スキル・ツリーをGithubで公開している(https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor)、Web3プロジェクトのセキュリティ実践要件(https://github.com/slowmist/Web3-Project-Security-Practice-Requirements)、 Solanaスマートコントラクトセキュリティのベストプラクティス(https://github.com/slowmist/solana-smart-contract-security-best-practices)に掲載されています。興味のある方はぜひGithubに移動してお読みください。
2023年、あらゆる対象のアカウントがハッキングされたセキュリティインシデントの数は70件に達し、Web3の熱い成長とともに、ユーザーやプロジェクトオーナーに対する攻撃は多数発生しています。Web3の加熱に伴い、ユーザーやプロジェクトオーナーに対する攻撃が急増しており、特にDiscordやTwitterなどのメディアプラットフォームに対する攻撃が急増している。
ハッカーはしばしば管理者やアカウントにアクセスし、管理者になりすましてフィッシングリンクを投稿し、ユーザーを騙して資産の譲渡を許可させます。プロジェクト・オーナーは、アカウントを保護するために2要素認証や強力なパスワードの設定などのセキュリティ運用を利用し、さまざまな従来型のサイバー攻撃やソーシャル・エンジニアリング攻撃に警戒することをお勧めします。
「SlowMist Hacked」ブロックチェーンハッキングアーカイブによると、2023年のブロックチェーン業界では11件のの詐欺事件が発生した。その中には2023年の香港の暗号通貨詐欺JPEXがあり、「ローリスクでハイリターン」の投資を勧誘していた。2023年12月18日の時点で、香港警察は66人を逮捕し、2623人の被害者から報告を受け、約16億香港ドルが関与している。JPEXスキャンダルは香港史上最大の金融詐欺事件となるかもしれない。
JPEX スキャンダルは香港史上最大の金融詐欺事件となる可能性がある。align: left;">おすすめ
プロジェクト側:
許可制御を含む、多層防御をコントラクトに導入する。
緊急対応メカニズムを確立し、攻撃発生時にタイムリーに対処し、被害範囲を抑制できるようにする。"text-align: left;">二要素認証の使用、強固なパスワードの設定、その他のセキュリティ運用により、アカウントハッキングのリスクを減らす。
個人ユーザーの場合、以下のセキュリティに関する法律や原則を守ることで、ほとんどのリスクを回避することができます:
二要素認証を利用する。
2つの主要なセキュリティ法:
信頼ゼロ。簡単に言えば、懐疑的であり続けること、そして常に懐疑的であることだ。
絶え間ない検証。信じるためには、自分が疑っている点を検証する能力を持ち、その能力を習慣化しなければならない。
安全原則:
棲み分けをしっかりすること、つまり、卵を1つのカゴに入れないこと。
重要な資産で財布を安易に更新せず、やりくりするのに十分なものだけにする。
目に見えるものはサインするもの。つまり、目に見えるものは、あなたが署名することを期待するものであり、署名して送信するとき、その結果はあなたが期待するものであるべきであり、決して後付けであってはならない;
システムのセキュリティアップデートを重視し、利用可能になったらすぐに行動する;
システムのセキュリティアップデートに注意する。li>
プログラムに手を出さない。
『ブロックチェーン・ダークフォレスト自助マニュアル』を読んでマスターすることをお勧めします(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)。/blob/main/README_CN.md)を読んでマスターすることをお勧めします。
インターネット上の知識、何事も少なくとも2つの情報源を参照し、互いに裏付けを取り、常に懐疑的になること。
レポート全文のダウンロード:
https://www.slowmist.com/report/2023-ブロックチェーン-セキュリティ-アンド-AML-年次報告書(CN).pdf
有益なレポートを通じて仮想通貨業界の幅広い理解を得て、志を同じくする他の著者や読者との詳細な議論に参加してください。拡大している Coinlive コミュニティにぜひご参加ください。https://t.me/CoinliveSG
コメントを追加する
ログインあなたの素晴らしいコメントを残すために…
0 コメント
最も早い
コメントをさらに読み込む
に関するその他のニュース 闪电贷攻击
に関するその他のニュース 闪电贷攻击
- JinseFinance
DeFi Exchange Balancerが100万ドルのフラッシュ・ローン攻撃の犠牲に
これに先立つ8月22日、バランサー・チームは、取引所を利用する流動性プロバイダー(LP)に対し、脆弱性のために危険にさらされている特定のプールから資金を引き揚げるよう促し、先手を打った。
BrianQuantstampがフラッシュローンの脆弱性を検出可能に
フラッシュ・ローンに基づく攻撃は、DeFi業界において大きな脅威となっており、3月にはオイラー・ファイナンスの悪用だけで約2億ドルの損失が発生している。
Brianフラッシュ ローン攻撃で Euler Finance から 1 億 8000 万ドルが流出
分散型金融(DeFi)セクターは、2022 年に巨額の損失を記録しました。
Bitcoinistフラッシュ ローンの悪用が Platypus USD のステーブルコイン攻撃の背後にあるようです
PlatypusDefi のステーブルコインである Platypus USD は突然 52% 以上下落し、オンチェーンの証拠はフラッシュ ローンのエクスプロイトを示しています。
TheBlockMidas Capital が $660,000 のフラッシュ ローン攻撃を受け、報奨金が提供される
攻撃者は、Jarvis ネットワーク プールの新しい担保オプションでフラッシュ ローンのエクスプロイトを使用しました。
BeincryptoPolygon の QuickSwap が $220,000 のフラッシュ ローン攻撃でヒット
人気の高い DEX は月曜日、融資プロトコルである QuickSwap Lend を閉鎖したと発表しました。
OthersInverse Finance は、フラッシュローンのオラクル攻撃で 120 万ドルを得るために再び悪用されました
ユーザーの資金はエクスプロイトの影響を受けていませんが、Inverse Finance は負債を抱えており、攻撃者に盗んだ資金を返す報奨金を提供しています。
CointelegraphCertiKデビュー:暗号化されたロスレス「反転クレジットカード」で数百万ドルの利益 FEGフラッシュローン攻撃イベント分析
FEGはイーサリアムとBNBチェーンに対する大規模なフラッシュローン攻撃を受け、約130万ドル相当の資産損失をもたらした。
Ftftx[FMへのリンク] CoinDCX、評価額21.5億米ドルで1億3,500万米ドルの資金調達を完了、Redemptionはフラッシュローン攻撃を受ける
インドの暗号化取引プラットフォーム CoinDCX は、Steadview と Pantera が主導し、Coinbase Ventures、Kingsway、DraperDragon、Republic、Kindred が参加し、評価額 21 億 5,000 万ドルで 1 億 3,500 万ドルのシリーズ D 資金調達を完了しました。
链向资讯