# 2022年のDeFiセキュリティインシデントのレビュー著者:Web3セキュリティの専門家最近、あるベテランのセキュリティ専門家がコミュニティメンバーにDeFiのセキュリティ講座を共有しました。この専門家は2022年のWeb3業界で発生した重大なセキュリティ事件を振り返り、これらの事件の原因と防止策を探求し、一般的なスマートコントラクトのセキュリティ脆弱性をまとめ、プロジェクトチームとユーザーに安全に関するアドバイスを提供しました。統計によると、2022年には300件以上のブロックチェーンセキュリティ事件が発生し、金額は43億ドルに達しました。本記事では、8つの典型的なケースを詳細に紹介します。これらのケースの大半は1億ドルを超える損失を被っており、その中でAnkrは相対的に損失が少ないものの、非常に代表的です。! [Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー](https://img-cdn.gateio.im/social/moments-ee2c5a9e945ca0082dc90fe3e334f49e)## 浪人橋事件2022年3月、Axie InfinityのサイドチェーンRonin Networkがハッキングされ、17.36万枚のETHと2550万ドルが失われました。攻撃者はソーシャルエンジニアリング手法を用いて従業員の信頼を得て、マルウェアをインストールし、最終的に5つの検証ノードのうち4つを制御して攻撃を実行しました。これは、会社内部のセキュリティ意識と管理に問題があることを露呈しています。## ワームホール事件 WormholeクロスチェーンブリッジのSolana側の契約検証コードに脆弱性が存在し、攻撃者は"ガーディアン"メッセージを偽造して12万枚のETHを鋳造しました。これは主にいくつかの廃止された関数が使用されているためです。開発者には最新バージョンの使用を推奨し、同様の問題を避けることをお勧めします。## ノマド橋事件NomadクロスチェーンブリッジのReplica契約初期化時に信頼できるルートが0x0に設定され、古いルートが無効化されていなかったため、攻撃者は任意のメッセージを構築して資金を盗むことができ、約1.9億ドルの損失が発生しました。この典型的なケースは、初期設定の問題が深刻な結果をもたらす可能性があることを示しています。有効な取引が繰り返し実行できることが判明したとき、多くの参加者が資金を奪いに来て、最終的には「金銭闘争」に発展しました。## 豆の木のイベントアルゴリズムステーブルコインプロジェクトBeanstalkがフラッシュローン攻撃を受け、約1.82億ドルの損失を被りました。攻撃者はプロジェクトのメカニズムの脆弱性を利用して、フラッシュローンを通じて大量のトークンを取得し、悪意のある提案を投票で通過させて即座に実行しました。これにより、純粋な分散型ガバナンスのいくつかの問題が浮き彫りになりました。たとえば、提案の審査、投票メカニズム、タイムロックなどは慎重に設計する必要があります。! [Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー](https://img-cdn.gateio.im/social/moments-646b3144d462a0e5ced17444071f9d00)## ウィンターミュートイベントマーケットメーカーのWintermuteは、脆弱性のある美しい番号生成ツールProfanityを使用し、その結果、契約のオーナーの秘密鍵がハッキングされ、資金が転送されました。これは、オープンソースツールを使用する際に、安全リスクを十分に評価する必要があることを思い出させます。## ハーモニーブリッジイベントHarmonyのクロスチェーンブリッジHorizonが1億ドル以上の損失、北朝鮮のハッカー組織による疑い。攻撃手法はRonin Bridge事件に類似している可能性がある。## AnkrイベントAnkrは内部の従業員による悪事に直面し、大量のトークンが鋳造され、売却され、連鎖反応を引き起こしました。これは、プロジェクト内部の権限管理とセキュリティシステムに深刻な問題が存在することを暴露しています。## マンゴーイベント攻撃者は小規模なコインMNGOの価格を操作することで、永続契約プラットフォームで利益を上げ、大量の資金を貸し出しました。これは、いくつかの分散型金融プロジェクトのビジネスモデルに欠陥が存在することを反映しています。プロジェクト側はさまざまな極端なシナリオを十分にテストする必要があり、ユーザーも利益だけでなく元本の安全に注意を払う必要があります。! [Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー](https://img-cdn.gateio.im/social/moments-bb42708a0810f2b5c37b48aeaa2d22d0)
2022年のDeFiの巨額の損失のレビュー:8つの主要なセキュリティインシデントの分析と防止策の提案
2022年のDeFiセキュリティインシデントのレビュー
著者:Web3セキュリティの専門家
最近、あるベテランのセキュリティ専門家がコミュニティメンバーにDeFiのセキュリティ講座を共有しました。この専門家は2022年のWeb3業界で発生した重大なセキュリティ事件を振り返り、これらの事件の原因と防止策を探求し、一般的なスマートコントラクトのセキュリティ脆弱性をまとめ、プロジェクトチームとユーザーに安全に関するアドバイスを提供しました。
統計によると、2022年には300件以上のブロックチェーンセキュリティ事件が発生し、金額は43億ドルに達しました。
本記事では、8つの典型的なケースを詳細に紹介します。これらのケースの大半は1億ドルを超える損失を被っており、その中でAnkrは相対的に損失が少ないものの、非常に代表的です。
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー
浪人橋事件
2022年3月、Axie InfinityのサイドチェーンRonin Networkがハッキングされ、17.36万枚のETHと2550万ドルが失われました。
攻撃者はソーシャルエンジニアリング手法を用いて従業員の信頼を得て、マルウェアをインストールし、最終的に5つの検証ノードのうち4つを制御して攻撃を実行しました。これは、会社内部のセキュリティ意識と管理に問題があることを露呈しています。
ワームホール事件
WormholeクロスチェーンブリッジのSolana側の契約検証コードに脆弱性が存在し、攻撃者は"ガーディアン"メッセージを偽造して12万枚のETHを鋳造しました。
これは主にいくつかの廃止された関数が使用されているためです。開発者には最新バージョンの使用を推奨し、同様の問題を避けることをお勧めします。
ノマド橋事件
NomadクロスチェーンブリッジのReplica契約初期化時に信頼できるルートが0x0に設定され、古いルートが無効化されていなかったため、攻撃者は任意のメッセージを構築して資金を盗むことができ、約1.9億ドルの損失が発生しました。
この典型的なケースは、初期設定の問題が深刻な結果をもたらす可能性があることを示しています。有効な取引が繰り返し実行できることが判明したとき、多くの参加者が資金を奪いに来て、最終的には「金銭闘争」に発展しました。
豆の木のイベント
アルゴリズムステーブルコインプロジェクトBeanstalkがフラッシュローン攻撃を受け、約1.82億ドルの損失を被りました。
攻撃者はプロジェクトのメカニズムの脆弱性を利用して、フラッシュローンを通じて大量のトークンを取得し、悪意のある提案を投票で通過させて即座に実行しました。これにより、純粋な分散型ガバナンスのいくつかの問題が浮き彫りになりました。たとえば、提案の審査、投票メカニズム、タイムロックなどは慎重に設計する必要があります。
! Cobo DeFiセキュリティクラスI:2022年のDeFiセキュリティイベントのレビュー
ウィンターミュートイベント
マーケットメーカーのWintermuteは、脆弱性のある美しい番号生成ツールProfanityを使用し、その結果、契約のオーナーの秘密鍵がハッキングされ、資金が転送されました。
これは、オープンソースツールを使用する際に、安全リスクを十分に評価する必要があることを思い出させます。
ハーモニーブリッジイベント
HarmonyのクロスチェーンブリッジHorizonが1億ドル以上の損失、北朝鮮のハッカー組織による疑い。攻撃手法はRonin Bridge事件に類似している可能性がある。
Ankrイベント
Ankrは内部の従業員による悪事に直面し、大量のトークンが鋳造され、売却され、連鎖反応を引き起こしました。
これは、プロジェクト内部の権限管理とセキュリティシステムに深刻な問題が存在することを暴露しています。
マンゴーイベント
攻撃者は小規模なコインMNGOの価格を操作することで、永続契約プラットフォームで利益を上げ、大量の資金を貸し出しました。
これは、いくつかの分散型金融プロジェクトのビジネスモデルに欠陥が存在することを反映しています。プロジェクト側はさまざまな極端なシナリオを十分にテストする必要があり、ユーザーも利益だけでなく元本の安全に注意を払う必要があります。
! Cobo DeFiセキュリティクラスI:2022年DeFiセキュリティイベントのレビュー