QRコードをスキャンしてダウンロードしてください。
ホームページ
記事
速報
Token Unlock
プロジェクトランキング
専題
専門コラム
ETF
ナレッジベース
カレンダー
イベント
ツールナビゲーション

DeFiの世界ではセキュリティ問題が頻発していますが、ハッカー報酬プラットフォームImmunefiはこれを解決できるのでしょうか?

老ヤッピー
2022-01-02 16:03:52
コレクション
同じく優れたAvalancheやSolanaに直面して、NEARは激しいパブリックチェーン競争の中でどのように突破口を開いたのか?

著者:老雅痞

三年前、DeFiにロックされた暗号通貨の総価値はわずか8億ドルでした。2021年2月にはこの数字が400億ドルに成長し、2021年4月には800億ドルのマイルストーンに達しました。そして現在、この数字は2460億ドルを超えています。この新興分野は、資本の流動性の価値を急速に捉えています。

ハッカーの観点から見ると、DeFiエコシステムへの攻撃は理想的かつ迅速な富の手段であり、ここは明らかにさまざまなハッカーや詐欺師の遊び場となっています。CipherTraceの最新の「暗号資産犯罪とマネーロンダリング報告書」によれば、7月末時点でDeFiに関連するハッカー事件はユーザーに3.61億ドルの損失をもたらしました。彼らの主な手法は何でしょうか?そして私たちはどのように対処すべきでしょうか。

DeFiプロトコルの資金はどのように盗まれるのか?

REENTRANCY ATTACK(再入攻撃)

鮮明な例は、2020年4月19日に発生したDForceハッカー事件です。

DeFiプロトコルでは、まずスマートコントラクトには以下の4つの出金ステップがあります:

ユーザーがコントラクトを呼び出し、コントラクトからすべての資金を引き出す準備をします。

コントラクトはユーザーがコントラクト内に資金を持っているかどうかを確認します。

コントラクトはユーザーのコントラクト内の資金をユーザーに送信します。

コントラクトは自動的に更新され、ユーザーはコントラクト内に資金を持っていません。

再入脆弱性により、ハッカーはコントラクトが完全に実行される前に再度コントラクトを呼び出すことができます(「再入」)。上記の例では、攻撃者は3ステップと4ステップの間に再度コントラクトに入ることができ、ユーザーの残高が更新される前に再度退出できます。このプロセスを繰り返すことで、彼らはコントラクトからすべての既存の資金を引き出し、ループの中で繰り返し資金を引き出すことで2500万ドルを盗みました。

FLASH LOAN ATTACK(フラッシュローン攻撃)

最近、フラッシュ攻撃は最も人気のあるハッカー攻撃手法となっています。フラッシュローンは、一回のブロックチェーン取引内でのみ有効なローンで、デフォルトリスクがありません。これは、貸し手が借り手に任意の金額のローンを提供することに同意することを意味し、指定された時間内にその金額を貸し手に返済しなければ、貸し手は全取引をロールバックできます。ハッカーはローンメカニズムを回避し、資産価格の操作などのさまざまな脆弱性をもたらします。

フラッシュローン攻撃は、特定のプラットフォームのスマートコントラクトのセキュリティを悪用するもので、攻撃者は通常、担保なしで大量の資金を借り入れます。そして、彼らは取引プラットフォームで暗号資産の価格を操作し、迅速に別の取引プラットフォームで転売します。

スマートコントラクトの脆弱性

コーディングエラーは、不注意に実行されたスマートコントラクトのセキュリティ監査や未確認のスマートコントラクトの脆弱性から生じます。残念ながら、多くのブロックチェーンプロジェクトの創設者は、テストカバレッジが不十分な状態でプロジェクトを運営することを決定し、セキュリティ監査の重要性を無視しました。このような怠慢は攻撃される可能性を高め、投資家に損失をもたらします。

価格オラクル(oracle)の操作:代表例 Maker Dao

スマートコントラクトの実行は、価格オラクルが提供する正確なデータに依存しています。しかし、これらの価格データを取得することは、人々が望むほど安全で信頼できるものではありません。もしオラクルが不正確なデータを提供すると、スマートコントラクトは取引の誤った実行を引き起こします。この事実は、価格を自分に有利に操作しようとするハッカーにとって有利です。オラクルが依存する情報源を操作して短期間の価格操作を行い、誤ったオンチェーン価格を達成することは典型的なオラクル攻撃であり、その本質はオラクルを操作し、内外価格差を生じさせ、フラッシュローンなどの新しい金融ツールを利用してアービトラージを行うことです。

誕生したDeFi脆弱性報奨プラットフォーム

従来のウェブサイトやアプリケーションのバグ報奨プラットフォーム、例えばHackerOneやBugCrowdは、この古い世界のモデルで成功を収めてきました。しかし、既存の「Web 2.0」バグ報奨とブロックチェーンおよび暗号通貨に関連する「Web 3.0」バグの新時代との間には大きな違いがあります。分散型金融(DeFi)時代におけるWeb 3.0の脆弱性報奨の重要な性質は、単なるソフトウェアの脆弱性にとどまらず、実際の通貨価値に関連していることです。

Immunefiとは?

Immunefiは2020年12月に設立され、バグ報奨を通じてスマートコントラクトのセキュリティを提供しています。さらに重要なことに、彼らは世界で最も優れたバグ報奨プラットフォームであると主張しています!ImmunefiはDeFiハッカー攻撃の問題を抑制する野心を持っています。この目標を達成するために、彼らはブロックチェーンプロジェクトにコンサルティングサービス、脆弱性検出、プロジェクト管理を提供し、最も重要なことは、ホワイトハットハッカーの軍隊を提供することです。ImmunefiはDeFiプロトコルとハッカーを結びつけ、プラットフォームとユーザーの資産を保護することを目指しています。

脆弱性(バグ)報奨とは?

脆弱性報奨プログラムは、スマートコントラクトやアプリケーションの潜在的な脆弱性を発見したセキュリティ研究者に報酬を提供します。さらに、報奨はホワイトハットハッカーが脆弱性を発見し、プロジェクトに報告することを奨励し、プロジェクトは脆弱性の深刻度に応じて彼らに報酬を支払います。

従来のバグ報奨が直面する困難

  1. 経済的インセンティブ

世界ではハッカーをホワイトハットハッカーとトラディショナルハッカーに分けていますが、大多数はグレーゾーンで活動しています。例えば、500万ドルを迅速に稼ぐことができる脆弱性を発見したハッカーは、巨大な利益の前で道徳的なジレンマに直面します。彼は正しいことをするべきか、バグのあるプラットフォームと交渉して5000ドルのバグ報奨を得るべきか?それとも自分でこのバグに対処すべきか?一貫した公正なホワイトハット報酬システムがなければ、人間の暗い側面の誘惑は永遠に存在し続けます。

  1. 報告

DeFiプロジェクトには通常、バグ報奨事件を処理する責任者がいません。したがって、ホワイトハットが脆弱性を報告しようとすると、意思決定者を見つけるのが難しいです。また、CTOが外部からのリスク警告を受け取った場合、彼らの自尊心が優位に立ちやすく、報奨ハンターは好かれません。たとえバグが発見され、適切なルートを通じて会社の責任者に報告されても、会社が報酬を与える保証はありません。財務部門は開発チームと脆弱性報奨の価値について意見が分かれることもあり、全体のプロセスは一連の行き詰まりに陥る可能性があります。

Immunefiの報奨プログラム

Immunefiプラットフォームは、彼らのホワイトハットとプロジェクトチームのために処理/コミュニケーションと交渉を行い、効率を大幅に向上させ、双方の時間コストを削減します。Immunefiはハッカーを匿名に保ち、KYC書類の提出を要求しません。

Immunefiプラットフォームは、いくつかの利益のある報奨を発表しており、その顧客Astroportは最大300万ドルの報酬を提供しています。他の注目すべき報奨はCelerからのもので、最大20万ドル、xDAIは最大200万ドル、Sushiは125万ドルの報奨を発表しています。

Immunefiは現在7100万ドルの報奨金を持っており、バグを狩る仕事を趣味から実行可能な職業に変えたいと考えています。これまでにこのプラットフォームは1000万ドル以上を支払い、顧客に200億ドルの資金損失を回避させました。

報奨プログラムを開始するには?

顧客がImmunefiのバグ報奨登録フォームに記入すると、彼らは調査票を受け取ります。

Immunefiはこれらの質問の回答に基づいてバグ報奨プログラムの草案を作成し、その草案は顧客に送信され、レビューされます。修正が完了すると、そのプログラムはImmunefiの運営専門家に引き渡されます。運営専門家はプロジェクトチームと協力して、報奨活動の開始時期や報奨の広報/マーケティングの詳細、費用と支払い方法を決定します。

Immunefiでバグ報奨を発表するには前払い費用は必要ありません。ハッカーが実際の脆弱性を発見した場合、顧客はバグ報奨の基礎に基づいてImmunefiに10%のパフォーマンスフィーを支払うだけです。

DeFi分野の急速な発展に伴い、セキュリティの問題が多くのプラットフォームとユーザーの資金に損失をもたらしています。これが、Immunefiが急速に価値を捉えることができる理由かもしれません。現在、彼らはElectric Capitalが主導し、Blueprint Forest、Framework Ventures、Bitscale Capital、P2P Capital、IDEO Colab、The LAO、BR Capital、3rd Prime Ventures、North Island Venturesなどの他の個人投資家が参加して550万ドルの資金を調達しました。

AmadorはTechCrunchのインタビューで次のように述べています。「現実の状況は、Web 3はより対抗的な環境であるということです。これは、報告の提出と処理から、報告の検証、支払いの交渉に至るまで、脆弱性報奨プロセスのすべての部分が以前とは異なることを意味します。従来のWeb 2のバグ報奨は便利なエラー修正ツールですが、私たちのWeb 3のバグ報奨はDeFiプロジェクトのより重要な緊急システムです。

DeFiエコシステムの構成要素がますます豊かになり、安全問題は常に頭上に吊るされたダモクレスの剣のようです。DeFiがハッカーに攻撃される事件はまだ止まらず、今後も続くことは言うまでもありません。

ブロックチェーンセキュリティガイド

ブロックチェーンセキュリティガイド

ブロックチェーンの一般的なセキュリティ問題は何ですか?暗号資産とプロジェクトの安全性をどのように確保しますか?
トピック
関連タグ
Immunefi
ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
老ヤッピー
老ヤッピー 尘埃科技の創業者で、DAO、NFT、メタバース、web3.0に注目しています。
Iron Fish はどのように暗号通貨取引をコンプライアンスに基づいてプライベート化できるのか?
Iron Fish はどのように暗号通貨取引をコンプライアンスに基づいてプライベート化できるのか?
バイナンスの新しいマイニングプロジェクト、Hashflowは果たして富の暗号と呼べるのか?
バイナンスの新しいマイニングプロジェクト、Hashflowは果たして富の暗号と呼べるのか?
関連タグ
Immunefi
関連読み物
多方观点|新しいリーダー Aya Miyaguchi、イーサリアムは市場の信頼を取り戻せるか?
多方观点|新しいリーダー Aya Miyaguchi、イーサリアムは市場の信頼を取り戻せるか?
トランプが就任初日、11年間囚われていたシルクロードの創始者が釈放された
トランプが就任初日、11年間囚われていたシルクロードの創始者が釈放された
TRUMPトークンの富の真実:大口の競争、1人当たりの購入額は59万ドル、発行から1分でアドレスが109万ドルを購入
TRUMPトークンの富の真実:大口の競争、1人当たりの購入額は59万ドル、発行から1分でアドレスが109万ドルを購入
著作権 © 2023年
私たちについて
メディアリソース
コラムの申請
免責声明
RSSリンク
募集
琼ICP备2021009392号
琼ICP备2021009392号
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する
アプリを開く