2021年XNUMX月、グローバルに分散型ファイナンス(DeFi)エコシステムにロックされた資金の量は、ほぼ 2022年の174億4000万ドル。 以前はクリプトバースのフリンジのダークホースであったDeFiは、2020年後半と2021年の最初の数か月で急上昇しました。お金が流れたところで、クジラが組織のプレーヤーとともに続きました。 参加 DeFiのほつれはますます増えています。
悪者も注意を払っていました。 2020年には、DeFiのハッキングと盗難は、2019年には事実上存在しなかったにもかかわらず、ブロックチェーン関連のすべてのインシデントの約半分を占めていました。 CipherTrace。 儲かる業界を利用するハッカーについては、何も新しいことはありません。 ただし、DeFi開発者とサイバーセキュリティの専門家の両方にとって、取るべき注意事項と学ぶべき教訓があります。 そして、重要なポイントのXNUMXつは、次のとおりです。より安全にするには、DeFiを実際に分散化する必要があります。
その法律に従ってシステムを再生する
資産とトランザクションを管理する自己実行型アプリケーションであるスマートコントラクトは、2015年のイーサリアムのリリースで始まりました。 最大のプラットフォーム DeFiプロジェクトの場合。 そこでは、これらのアプリケーションはSolidityで記述され、Ethereum Virtual Machine(EVM)ランタイム環境で実行されます。 スマートコントラクトはDeFiの運用バックボーンとして機能し、ローン、暗号通貨スワップ、保険、およびその他のさまざまなサービスを可能にします。 ここでの法則はコードです。契約がブロックチェーンにアップロードされると、それは実行され、編集することはできません。
DeFiプロジェクトの場合、スマートコントラクトを失敗させることは、さびた穴の開いた金庫で銀行を開くようなものです。 そのため、DeFiサービスに対する驚異的な数の攻撃がさまざまなものを利用したことは驚くことではありません。 欠陥と脆弱性 スマートコントラクト内。
最近見た攻撃のいくつかは、整数のオーバーフロー攻撃やアンダーフロー攻撃など、DeFiのプログラム上の脆弱性を悪用しました。 このような攻撃は、EVMとSolidityが整数変数を処理する方法を活用して、開発者が予測できない結果をもたらします。 2018年のbatchOverflowの脆弱性。これにより、次のような複数の取引所が発生しました。 OKEx、Poloniex、およびChangelly、20年にERC-2018トークンのデポジットを一時的に停止します。問題は、スマートコントラクトのバッチ転送機能の間違いに起因しました。 膨大な量のトークン 送信者のウォレットを請求せずに別のアドレスに。
2020年には、 Lendf.MeとUniswap 別の主要な攻撃ターゲットであるスマートコントラクトの論理的な欠陥を例証するハッキングで、合計25万ドルを失いました。 攻撃者は、ERC777トークン契約の論理的な欠陥を使用して、人工的な担保を効果的に作成し、Lendf.Meの貸し出しプールを空にし、Uniswapにも影響を与えました。 問題の欠陥は、リエントラント機能に要約されます。 プロセスが途中で中断されて再度開始され、両方のインスタンスが最終的に完了する可能性がある場合、そのプロセスは再入可能と呼ばれます。 スマートコントラクトのリエントラント関数を使用すると、悪意のあるアクターが何度も何度も呼び出す可能性があります。 これがあなたの引き出し機能である場合、あなたの財布全体を数分以内に空にすることができます。
同じ取引で返済しなければならない無担保ローンであるフラッシュローンの使用が重要な要素でした 多くの攻撃で これは、データオラクル(資産価格などのオフチェーンデータをスマートコントラクトにフィードするサービス)を対象としていました。 これらは多くの場合、暗号交換などの単一のデータソースに依存しています。 フラッシュローンを使用すると、知識豊富な悪意のある攻撃者がスポット価格を操作し、一連のトランザクションを開始して、最終的にハッカーが利益を得ることができます。
さらに前向きな点として、上記の攻撃の多くは、最終的にはDeFiエコシステムの相対的な未熟さに起因します。 成熟したセキュリティプロトコルが進化および開発されるにつれて、それらは衰退していきます。 それらのXNUMXつは、分散型オラクルの使用である可能性があります。オラクルサービスは、データの複数のソースを利用します。 そして、これは私たちを部屋の中の象に連れて行きます:DeFiの実際の分散化の欠如。
それはすべて鍵の中にあります
DeFiエコシステムの台頭により、自然に新しく洗練された攻撃ベクトルが生まれましたが、古くて証明されたセキュリティの真実は依然として非常に重要です。 つまり、あなたの秘密鍵は今でもあなたの最も貴重な所有物であり、それを手に入れることによって、ハッカーは非常に金持ちになることができます。
これがDeFiエコシステムでどのように機能するかを次に示します。 コントラクトを公開するには、ブロックチェーンにアップロードする必要があります。 その際、企業は通常、契約所有者を設定します。これは通常、ブロックチェーンに契約をアップロードするウォレットです。
通常のネットワークのシステム管理者と同じように、このウォレットは関数を呼び出したり、通常のユーザーがアクセスできない機能を使用したりできるようになります。 スマートコントラクトは資金を保持できるため、所有者は通常、それらに少なくともある程度アクセスできます。 特定のDeFiサービスに必要な管理機能を提供する一方で、所有権は大きな脆弱性をもたらすだけでなく、事実上、DeFiの「De」を裏切ることになります。
攻撃を含む最近のハッキングの数 イージーファイ プラットフォーム、 有料ネットワーク、そして、明らかに、 ロール、すべての見たハッカーは、DeFiソリューションを強化する秘密鍵を危険にさらします。 これにより、EasyFiの場合と同様に、最大80万ドルの利益を上げることができました。 ハッカーが分散型取引所のシステム内の重要なアカウントの秘密鍵を手に入れることができたBancorNetworkの初期のハッキングも、このカテゴリに当てはまります。
取引所は、トークンスマートコントラクトを使用して、ネイティブBNTトークンの悪意のある転送を凍結することができました。 いいですね。 ただし、悪意のあるアクターがトークンコントラクトを乗っ取った場合、すべてのBNT転送が凍結され、DeFiサービス全体が事実上破壊された可能性があります。 それはそれが得るのと同じくらい集中化されています。
これらの攻撃は、私たちに単純な真実を考慮させます。DeFiは、そのすべての才能と斬新さのために、それ自体の名前が示すほど分散化されていません。 チェーンは最も弱いリンクと同じくらい強力であり、同じことがブロックチェーンにも当てはまります。 DeFiスマートコントラクトは分散環境であるブロックチェーン上で実行されますが、秘密鍵は依然として単一障害点です。
契約所有者が秘密鍵を適切に管理していないと、サービス全体を一掃する可能性のある攻撃にさらされる可能性があります。 DeFiの上昇を利用しようとしている銀行は、コールドボールトやMPCなどの通常の転送と同じ厳格な手段でスマートコントラクトの秘密鍵を保護しない場合、アカウントを空にすることができます。 したがって、意欲的なDeFiムーバーとシェーカーは、暗号化に参加するすべての人にとっての最初のレッスンを決して忘れてはなりません。秘密鍵に関しては、セキュリティがすべてです。
タグ
無料のアカウントを作成して、カスタムの読書体験のロックを解除します。
PlatoAi。 Web3の再考。 増幅されたデータインテリジェンス。
アクセスするには、ここをクリックしてください。
