成都链安レポート:2022年Q1における世界のブロックチェーン攻撃型セキュリティ事件による損失は12億ドルに達する
2022年第一四半期、ブロックチェーン分野の攻撃型セキュリティ事件による損失は約120億ドルに達し、2021年のいかなる四半期の損失額をも上回りました。クロスチェーンブリッジプロジェクトの盗難額は巨大で、DeFiプロジェクトは攻撃頻度が最も高く、これらの二つの分野は今後もハッカーの重点的な攻撃対象となる可能性があります。一、 2022年Q1ブロックチェーンセキュリティエコシステムの概要、 セキュリティ事件による損失は約12億ドルに達する
2022年第一四半期、成都チェーンセキュリティ【チェーン必応-ブロックチェーンセキュリティ状況感知プラットフォーム】の監視データによると、攻撃型セキュリティ事件による損失は約12億ドルに達し、昨年同期(2021年Q1)の1.3億ドルから約9倍増加した。また、2021年のいかなる四半期の損失額よりも高い。
2022年3月、Ronin攻撃事件により6.25億ドルの資金が盗まれ、2021年8月のPoly Networkの攻撃による6.1億ドルを超え、Defiハッカー攻撃の損失ランキングで1位に立った。もちろん、すべてのプロジェクトがPoly Networkのように資金を取り戻せるわけではない。本報告書執筆時点(4月)でも、Roninのハッカーは依然として分割してマネーロンダリングを行っている。
拡張リーディング:
6億ドル以上の資金が盗まれた!Roninクロスチェーンブリッジ攻撃事件の簡略分析
成都チェーンセキュリティによるPoly Network攻撃事件の全解析
チェーンプラットフォームの観点から
EthereumとBNBは依然として攻撃頻度が最も高い2つのチェーンであるが、高い攻撃頻度は必ずしも高い損失額を意味するわけではない。2022年第一四半期、Solanaチェーンでの典型的な攻撃事件は2件発生し、損失額は3億7400万ドルに達し、BNBチェーン上の損失を大きく上回った。
資金の流れの観点から
80%のケースで、ハッカーは最終的に盗取した資金をTornado.Cashに移して混合する。10%のケースでは、ハッカーは資金を一時的に自分のアドレスに留めておき、数ヶ月、時には数年待ってから不正資金を移動させることがある。ごく一部のハッカーは盗取した資金を自主的に返還する。
攻撃手法の観点から
契約の脆弱性を利用した攻撃とフラッシュローン攻撃がハッカーによく使用される手段である。攻撃手法の50%は契約の脆弱性を利用したものである。
監査状況の観点から
攻撃を受けたプロジェクトの70%は第三者のセキュリティ会社による監査を受けている。しかし、残りの30%の未監査のプロジェクトでは、攻撃事件による損失が全体の損失額の60%以上を占めている。
プロジェクトタイプの観点から
DEFIプロジェクトは依然としてハッカー攻撃のホットな分野であり、攻撃を受けたプロジェクトの60%を占めている。クロスチェーンブリッジは攻撃回数は少ないが、関与する金額は巨大である。
二、 Q1に発生した典型的な攻撃事件は30件を超え、 クロスチェーンブリッジプロジェクトは大きな損失を被る
2022年第一四半期、ブロックチェーン分野で約30件の典型的なセキュリティ事件が発生した。総損失額は約12億ドルで、昨年同期と比べて823%増加した。
前20位の中で、損失額が最も高いRoninは6.25億ドルで、最も低いBuild Finance(112万ドル)の558倍である。
統計グラフから見ると、RoninとWormholeの2つのプロジェクトの損失額は9億5000万ドルに達し、2022年Q1の総損失額の80%を占めている。注目すべきは、これら2つはクロスチェーンブリッジプロジェクトである。
三、 攻撃を受けたプロジェクトタイプの観点から、 DeFi は依然としてハッカー攻撃の重点分野
2022年第一四半期、ブロックチェーン分野では、DeFiプロジェクトが依然としてハッカー攻撃の重点分野であり、19件のセキュリティ事件が発生し、約60%の攻撃がDeFi分野で発生した。
さらに、NFTに対する攻撃事件は2022年第一四半期に増加し、クロスチェーンブリッジプロジェクトは4回攻撃され、損失は9億5000万ドルに達し、2022年第一四半期の損失額の80%を占めている。クロスチェーンブリッジのセキュリティ事件が頻発し、関与する金額は巨大である。
四、 チェーンプラットフォームの損失額の観点から: Ethereumの損失額が最も高い
2022年第一四半期、EthereumとSolanaチェーンの攻撃による損失額はそれぞれ6億5448万ドルと3億7400万ドルで、ランキングの上位2位を占めている。
Ethereumは攻撃頻度も最も高く、総頻度の45%を占めている。2位はBNBチェーンで、19%を占めている。
Solanaチェーンでの2件の攻撃事件は巨額の損失を引き起こした:Wormholeは3億2600万ドル、Cashioは4800万ドルの損失を被った。両者の攻撃手法は契約の脆弱性を利用したものである。
さらに、いくつかのTVLランキング上位のパブリックチェーンでは、2022年第一四半期に重大なセキュリティ事件が検出されていない。例:Terra、Avalanche、Tronなど。 五、攻撃手法の分析: 契約の脆弱性を利用した攻撃とフラッシュローンが最も一般的 2022年第一四半期、ブロックチェーンセキュリティエコシステム分野では、約50%の攻撃手法が契約の脆弱性を利用したものであり、24%の攻撃手法がフラッシュローンである。 12%の攻撃は秘密鍵の漏洩、フィッシング攻撃、社会工学攻撃である。この種の攻撃は、プロジェクト側が秘密鍵を適切に管理していないか、警戒心が不足していることから発生する。
ハッカーに利用された契約の脆弱性の中で、最も一般的な脆弱性は再入攻撃(30%)であり、次いでビジネスロジックの不適切(24%)、コールインジェクション攻撃(18%)、検証の不適切または不足(18%)である。これらの脆弱性の大部分は、安全監査によって早期に発見し修正することができる。
六、 典型的なセキュリティ事件の分析 ケース1:TreasureDAO攻撃事件 背景:
3月3日、TreasureDAO NFT取引市場で脆弱性が発見され、100以上のNFTが盗まれた。しかし、事件発生から数時間後、攻撃者は盗まれたNFTを返還し始めた。
詳細:
取引の発起者は、契約のbuyItem関数に数値0の_quantityパラメータを渡すことで、費用なしでTokenID5490のERC-721トークンを購入できるようにした。
コードを見ると、契約のbuyItem関数はquantityパラメータを渡した後、トークンタイプの判断を行わず、直接quantityと_pricePerItemを掛け算してtotalPriceを計算したため、safeTransferFrom関数はERC-20トークンの支払い額が0の状態でも、契約のbuyItem関数を呼び出してトークンを購入できる。
しかし、buyItem関数を呼び出す際、関数は購入するトークンタイプのみを判断し、トークン数量が0でないかの判断を行わなかったため、ERC-721タイプのトークンは_quantityの数値を無視して直接購入でき、脆弱性攻撃が実現した。
提案:
今回のセキュリティ事件の主な原因は、ERC-1155トークンとERC-721トークンの混用による論理の混乱であり、ERC-721トークンには数量の概念がないが、契約は数量を使用してトークン購入価格を計算しており、最終的にトークン転送時にも分類の議論が行われていなかった。
開発者は、複数のトークンの販売契約を開発する際には、異なるトークンの特性に基づいて異なる状況のビジネスロジック設計を行うことをお勧めする。
拡張リーディング:奇妙なこと?盗んで返す?TreasureDAOセキュリティ事件の分析
ケース2:Build Financeプロジェクトがガバナンス攻撃を受ける 背景:
2月15日、DAO組織Build Financeは悪意のあるガバナンス攻撃を受けたと発表し、攻撃者は十分な投票を得てそのToken契約を制御することに成功した。
詳細:
2020年9月4日の取引で、Build Finance契約の作成者はsetGovernance関数を通じてガバナンス権限を移転した。内部のストレージを調べると、権限が0x38bce4bアドレスに移転されたことがわかった。0x38bce4bアドレスを追跡すると、それはTimelock契約であり、契約内でsetGovernance関数を呼び出せるのはexecuteTransaction関数のみであることがわかった。
さらに追跡すると、2021年1月25日に0x38bce4bアドレスがexecuteTransaction関数を呼び出して権限を0x5a6ebeアドレスに移転したことがわかった。2022年2月11日、投票設定の閾値が低いため提案が通過し、0x5a6ebeアドレスのガバナンス権限が0xdcc8A38Aアドレスに変更された。ガバナンス権限を取得した後、攻撃者は悪意のある鋳造を行い、取引プールの流動性を枯渇させた。
提案:
DAO契約は適切な投票閾値を設定し、真の分散型ガバナンスを実現する必要がある。少ない投票数で提案が通過し、成功裏に実行されることを避けるために、openzeppelinが提供するガバナンス契約の実装を参考にすることをお勧めする。
拡張リーディング:Build Financeが悪意のあるガバナンス乗っ取りに遭い、全てを奪われた!
ケース3:Ronin6億ドル盗難事件
背景:
3月23日、Sky MavisのRoninバリデーターノードとAxie DAOバリデーターノードが破壊され、攻撃者はハッキングされた秘密鍵を使用して偽の引き出しを行い、約6.25億ドルを得た。Ronin Networkは3月29日まで自らが攻撃を受けたことに気づかなかった。
詳細:
Sky MavisのRoninチェーンは現在9つのバリデーターノードで構成されている。入金イベントや出金イベントを識別するには、9人のバリデーターの署名のうち5つが必要である。攻撃者はSky Mavisの4つのRoninバリデーターとAxie DAOが運営する第三者バリデーターを制御することに成功した。その後、Ronin公式は、すべての証拠がこの攻撃が社会工学に関連していることを示していると述べた。
提案:
1、署名サーバーのセキュリティに注意すること;
2、署名サービスが関連業務を終了する際には、迅速にポリシーを更新し、対応するサービスモジュールを閉じ、対応する署名アカウントアドレスを廃止することを検討する;
3、マルチシグ検証時には、マルチシグサービス間で論理的に隔離し、独立して署名内容を検証し、一部のバリデーターが他のバリデーターに署名を要求できる状況を避けること;
4、プロジェクト側はプロジェクト資金の異常状況をリアルタイムで監視すること。
七、盗まれた資金の流れの分析:T ornado.Cashはハッカーのマネーロンダリングの常套手段か
80%のケースで、ハッカーは成功した後、すぐにまたは数日内に盗取した資金をTornado.Cashに移して混合する。
10%のケースでは、ハッカーは一時的に不正資金を自分のアドレスに留めておき、数ヶ月から数年待ってから資金を移動させることがある。例えば、昨年12月に盗まれた取引所AscendEXでは、ハッカーは今年の2月、3月になってようやく分割してマネーロンダリングを開始した。今年のRoninの攻撃者も現在頻繁にマネーロンダリングを行っている。
一部のハッカーは盗取した資金を返還する。Cashioの攻撃者は4800万ドルの資金を盗んだ後、公開メッセージで10万ドル未満のアカウントに返還すると述べ、「私の目的は、必要のない人からお金を取ることであり、必要な人からお金を取ることではない」と主張した。
現在、Tornado.cashは依然としてハッカーの常用のマネーロンダリング手段である。
八、プロジェクト監査状況の分析: 30%の未監査プロジェクトの損失額は総額の60%を占める
プロジェクト監査状況:
70%の攻撃を受けたプロジェクトは第三者のセキュリティ会社による監査を受けている;
30%の未監査プロジェクトでは、損失額が7.2億ドルに達し、第一四半期の総損失額の60%を占めている;
プロジェクトの立ち上げ前の監査は依然として重要である。未監査のプロジェクトでは、50%の攻撃手法が契約の脆弱性を利用したものである。そのため、早期に監査を行い、コードの脆弱性を迅速に修正することで、立ち上げ後のプロジェクトが攻撃を受けて深刻な損失を被ることを避けることができる。
九、2022年Q1の結論: セキュリティ事件が頻発し、関与する金額が大幅に増加
2022年第一四半期、ブロックチェーン分野での攻撃型セキュリティ事件による損失は約12億ドルに達し、2021年のいかなる四半期の損失額よりも高い。クロスチェーンブリッジプロジェクトは巨額の盗難に遭い、DeFiプロジェクトは攻撃頻度が最も高い。この2つの分野は今後もハッカーの重点的な攻撃対象となる可能性がある。
プロジェクト側は資金の異常状況に迅速に注意を払い、成都チェーンセキュリティ【チェーン必応-ブロックチェーンセキュリティ状況感知プラットフォーム】を利用することで、プロジェクト側とユーザーはリスクのある取引を迅速に発見し、迅速に対策を講じることができる。例えば、関連サービスを直ちに停止するか、ユーザーに権限の取り消しを通知するなどして、後続のさらなる損失を避けることができる。
プロジェクトのセキュリティ監査は依然として重要であり、約50%の攻撃手法が契約の脆弱性を利用したものであり、その中の大部分の脆弱性は安全監査によって早期に発見し修正することができる。
