12.8 C
Tokyo
Thursday, December 2, 2021

DeFiプロトコルはどのようにハッキングされますか?

Must read

分散型金融セクターは急成長を遂げています。 3年前、DeFiにロックされた合計値はわずか$800 100万。 2月2021までに、数字は$に成長しました。 十億; 4月2021に、$のマイルストーンを達成しました。 十億; そして今それは$以上で立っています 十億。 新しい市場でのこのような急速な成長は、あらゆる種類のハッカーや詐欺師の注目を集めるしかない。

暗号調査会社の報告によると、2019、DeFiセクターは約$を失いました。900万をハッキングやその他にエクスプロイト攻撃。 ブロックチェーンエコシステムのハッキングは、ハッカーの観点から見て、豊かにするための理想的な手段です。 このようなシステムは匿名であるため、失うお金があり、被害者の知らないうちにハッキングをテストして調整することができます。 2021の最初の4か月で、損失は$

に達しました。 100万。 そして、これらは公に知られている事例にすぎません。 実際の損失は数十億ドルと見積もっています。

関連:のまとめ2020の暗号ハッキング、エクスプロイト、強盗*)

DeFiプロトコルからお金はどのように盗まれますか? 数十のハッカー攻撃を分析し、ハッカーの攻撃につながる最も一般的な問題を特定しました。

サードパーティプロトコルの誤用とビジネスロジックエラー

攻撃は、主に被害者の分析から始まります。 ブロックチェーンテクノロジーは、ハッキングシナリオの自動調整とシミュレーションに多くの機会を提供します。 攻撃を高速で目に見えないようにするには、攻撃者は必要なプログラミングスキルとスマートコントラクトの仕組みに関する知識を持っている必要があります。 ハッカーの典型的なツールキットを使用すると、ネットワークのメインバージョンからブロックチェーンの独自の完全なコピーをダウンロードし、トランザクションが実際のネットワークで行われているかのように攻撃のプロセスを完全に調整できます。

次に、攻撃者はプロジェクトのビジネスモデルと使用される外部サービスを調査する必要があります。 ビジネスロジックとサードパーティサービスの数学モデルのエラーは、ハッカーによって最も一般的に悪用される2つの問題です。

スマートコントラクトの開発者は、トランザクション時に関連するより多くのデータを必要とすることがよくあります彼らがいつでも所有するかもしれないより。 したがって、オラクルなどの外部サービスの使用を余儀なくされます。 これらのサービスは、信頼できない環境で動作するように設計されていないため、それらの使用には追加のリスクが伴います。 暦年の統計によると(2020の夏以降)、損失の最小の割合を占めるリスクのタイプ—のみハッキングし、合計で約$50 100万。

関連している: ブロックチェーンセキュリティプロトコルを更新するための根本的な必要性

コーディングミス

スマートコントラクトは比較的新しい概念ですITの世界で。 それらの単純さにもかかわらず、スマートコントラクトのプログラミング言語は完全に異なる開発パラダイムを必要とします。 多くの場合、開発者は必要なコーディングスキルを持っておらず、ユーザーに莫大な損失をもたらす重大なミスを犯します。

セキュリティ監査は、この種のリスクの一部のみを排除します。これは、市場に出回っているほとんどの監査会社は、実行する作業の品質について一切の責任を負わず、財務にのみ関心があるためです。側面。 より多い 100コーディングエラーのためにプロジェクトがハッキングされ、損失の合計量は約$になりました。 100万。 顕著な例は、4月に発生したdForceハックです。 、 2020。 ハッカーはERCの脆弱性を使用しました-777トークン標準再突入攻撃と組み合わせて、$で逃げました 100万。

関連している: DeFiプロジェクトのデフォルトの監査は、業界を成長させるために必須です

フラッシュローン、価格操作、マイナー攻撃

スマートコントラクトに提供される情報は、トランザクションの実行時にのみ関連します。 デフォルトでは、契約は、そこに含まれる情報の潜在的な外部操作の影響を受けません。 これにより、あらゆる種類の攻撃が可能になります。

フラッシュローンは担保のないローンですが、同じトランザクション内で借りた暗号を返却する義務があります。 借り手が資金を返還しなかった場合、取引はキャンセル(返還)されます。 そのようなローンは借り手が大量の暗号通貨を受け取り、彼ら自身の目的のためにそれらを使用することを可能にします。 通常、フラッシュローン攻撃には価格操作が含まれます。 攻撃者は、最初にトランザクション内で多数の借用トークンを販売して価格を下げ、次にトークンの非常に低い値で一連のアクションを実行してから、それらを買い戻すことができます。

マイナー攻撃は、プルーフオブワークコンセンサスアルゴリズムに基づいて機能するブロックチェーンに対するフラッシュローン攻撃の類似物です。 このタイプの攻撃はより複雑で費用がかかりますが、フラッシュローンの保護レイヤーの一部をバイパスする可能性があります。 仕組みは次のとおりです。攻撃者はマイニング容量を借りて、必要なトランザクションのみを含むブロックを形成します。 指定されたブロック内で、最初にトークンを借用し、価格を操作してから、借用したトークンを返すことができます。 攻撃者は、ブロックに入力されるトランザクションとそのシーケンスを個別に形成するため、フラッシュローンの場合と同様に、攻撃は実際にはアトミックです(他のトランザクションを攻撃に「組み込む」ことはできません)。 このタイプの攻撃は、ハッキングに使用されています100プロジェクト、合計約10億ドルの損失。

ハッキングの平均数は時間の経過とともに増加しています。 2020の初めに、1回の盗難が数十万ドルを占めました。 年末までに、金額は数千万ドルに上昇しました。

関連: スマートコントラクトのエクスプロイトはハッキングよりも倫理的です…またはそうではありませんか?

開発者の無能

最も危険なタイプのリスクには、ヒューマンエラー要因が含まれます。 人々は手っ取り早いお金を求めてDeFiに頼ります。 多くの開発者は資格が不十分ですが、それでも急いでプロジェクトを立ち上げようとします。 スマートコントラクトはオープンソースであるため、ハッカーが簡単にコピーしたり、小さな方法で変更したりできます。 元のプロジェクトに最初の3種類の脆弱性が含まれている場合、それらは数百のクローンプロジェクトに波及します。 RFI SafeMoonは、に100を超える重大な脆弱性が含まれているため、良い例です。プロジェクトにより、20億ドルを超える潜在的な損失が発生します。

この記事はによって共同執筆されました。 )Vladislav KomissarovおよびDmitry Mishunin

ここに記載されている見解、考え、意見は著者のみのものであり、必ずしもコインテレグラフ。

Vladislav KomissarovがチーフテクノロジーですBondAppetitの役員、固定定期収入の実世界の資産に裏打ちされたステーブルコインを備えた貸付DeFiプロトコル。 彼は終わった17Web開発における長年の経験。
Dmitry Mishunin はHashExの創設者兼最高技術責任者です。 より多い 30グローバルプロジェクトは、HashExによって設計されたブロックチェーン統合で実行されています。 以上200スマート契約は2017–で監査されました。

spot_img

More articles

返事を書く

あなたのコメントを入力してください。
ここにあなたの名前を入力してください

spot_img

Latest article