Fairyproof：2023年第三四半期ブロックチェーンエコシステムセキュリティレポート

2023-10-13 12:27:26

コレクション

2023年第三四半期、暗号市場全体は依然として波乱がないように見えました。しかし、エコシステム内でのセキュリティ事故の発生頻度は前の二四半期を上回りました。この四半期には約5.72億ドルの暗号資産が様々なセキュリティ事故で損失を被りました。

共有する

WeChatでQRコードをスキャン

著者：Fairyproof

概説

2023年第三四半期、暗号市場全体は依然として波乱のない状態を示しています。しかし、エコシステム内でのセキュリティ事故の発生頻度は、前の二四半期を上回っています。この四半期には、約5.72億ドルの暗号資産がさまざまなセキュリティ事故で損失を被りました。

Fairyproofは、第三四半期に公開された198件の典型的なケースを調査し、ケースの統計、分析を行い、これらの事件が反映するセキュリティエコシステムの特性や、ユーザーが取るべき関連の防止策について考察しました。

背景紹介では、Fairyproofの研究結果を詳細に提示する前に、本報告書内の関連用語について説明する必要があります。

CCBS

CCBSは「中央集権型暗号資産またはブロックチェーンサービス機関」を指します。これは通常、人為的に運営管理されるオフチェーンサービスプラットフォームを指し、そのコア技術は主に従来の中央集権型技術に依存し、日常の運用活動は主にオフラインで行われます。従来の暗号資産取引所（例：Binance）、暗号資産発行承認プラットフォーム（例：Tether）がこの典型です。

フラッシュローン（FLASHLOAN）

フラッシュローンは、ハッカーがイーサリアム仮想マシンプラットフォーム上のスマートコントラクトを攻撃する一般的かつ人気のある方法です。フラッシュローンは、著名なDeFiアプリケーションAAVE[1]チームによって発明された契約呼び出しの方法です。この契約呼び出しにより、ユーザーは担保なしで、これをサポートするDeFiアプリケーションから直接暗号資産を借りることができ、ユーザーが1つのブロック内でその資産を返済すれば、その取引が有効になります[2]。当初、この機能はDeFiユーザーにより柔軟で便利な手段を提供するために発明されました。しかし、その後、フラッシュローンはその柔軟性の高さから、ハッカーがERC-20[3]トークンを借りて攻撃に使用する最も一般的なシナリオとなりました。フラッシュローンを開始する前に、ユーザーは借りる（資産）と返す（資産、利息および関連手数料）のロジックを明確に契約内に記述し、その契約を呼び出してフラッシュローンを開始する必要があります。

クロスチェーンブリッジ（CROSS-CHAIN BRIDGE）

クロスチェーンブリッジは、複数の独立したブロックチェーンを接続するインフラストラクチャであり、異なるブロックチェーンに展開されたトークンが各ブロックチェーン間で相互に流通することを可能にします。

ますます多くのブロックチェーンが独自のエコシステム、アプリケーション、暗号資産を持つようになり、これらのアプリケーションや資産の間でのクロスチェーン通信と取引の需要が著しく増加しています。これにより、クロスチェーンブリッジはハッカーにとって人気の攻撃対象となっています。

報告の重点

Fairyproofは、2023年第三四半期に発生した198件の典型的なセキュリティ事件を詳細に研究し、本報告書ではこれらの事件による損失額、原因などのさまざまな要素を統計分析し、相応の防止策と対策を提案しています。

2023年第三四半期のセキュリティ事件の統計および分析

Fairyproof研究チームは、2023年第三四半期における際立った198件のセキュリティ事件を詳細に研究し、攻撃を受けた対象と攻撃の根源の二つの側面から統計結果を示し、分析研究を行いました。

これら198件のセキュリティ事件による暗号資産の損失総額は5.72億ドルであり、Tradingviewに表示される主流の暗号資産の総価値は10560億ドルです。損失資産は総市場価値の0.05%を占めています。

被害対象に基づくセキュリティ事故の分類

Fairyproofが研究したセキュリティ事件は、その被害対象に基づいて以下の四つのカテゴリに分類できます：

中央集権型暗号資産またはブロックチェーンサービス機関（CCBS、以下のCCBSはこの概念を指します）
ブロックチェーン（Blockchains）
非中央集権型アプリケーション（dApps）
クロスチェーンブリッジ（Cross-chain Bridges）

本報告書で言及するCCBSセキュリティ事件は、攻撃または損害を受けた対象がCCBSシステムであることを指します。これらの事件では、CCBSが保管する資産が盗まれたり、運営するサービスが中断されたりします。ブロックチェーンセキュリティ事件は、ブロックチェーンのメインネット、サイドチェーン、またはブロックチェーンのメインネットに依存する第二層拡張システムが攻撃または損害を受けたことを指します。通常、これらの事件では、ハッカーがシステム内、システム外、または両方から攻撃を仕掛け、システムのソフトウェアまたはハードウェアの異常を引き起こし、資産損失をもたらします。

dAppセキュリティ事件は、dAppが攻撃を受けて正常に機能できなくなり、ハッカーがdApp内で管理されている暗号資産を盗む機会を与えることを指します。

クロスチェーンブリッジセキュリティ事件は、クロスチェーンブリッジが攻撃を受け、正常に機能できなくなり、さらにはその取引で扱った暗号資産が盗まれることを指します。

Fairyproofは、合計198件の事件を上記の四つのカテゴリに分類し、その割合分布図は以下の通りです：

図からわかるように、dAppセキュリティ事件の数は総数の86.87%を占め、他のどのカテゴリよりも多くなっています。198件のうち、dAppセキュリティ事件が172件、CCBSセキュリティ事件が4件、ブロックチェーンセキュリティ事件が14件、クロスチェーンブリッジセキュリティ事件が4件です。

ブロックチェーンセキュリティ事件

ブロックチェーンに関するセキュリティ事件は、さらに以下の三つのカテゴリに細分化できます：

i. ブロックチェーンメインネット（Blockchain mainnets） ii. サイドチェーン（Side chains）

iii. 第二層拡張システム（Layer 2 solutions）

ブロックチェーンメインネットはLayer 1とも呼ばれ、独立したブロックチェーンであり、独自のネットワーク、プロトコル、コンセンサス、バリデーターを持っています。ブロックチェーンメインネットは、取引、データ、ブロックを検証でき、これらの検証作業はすべて自分のバリデーターによって行われ、最終的に合意に達します。ビットコインやイーサリアムは典型的なブロックチェーンメインネットです。

サイドチェーンは、ブロックチェーンメインネットと並行して運営される独立したブロックチェーンです。独自のコンセンサスとバリデーターを持っていますが、何らかの方法（例：双方向アンカー[4]）でブロックチェーンメインネットと接続されます。第二層拡張システムは、ブロックチェーンメインネットに依存するシステムであり、ブロックチェーンメインネットが安全性と最終的な一貫性[5]を提供する必要があります。これは主に、ブロックチェーンメインネットのスケーラビリティの問題を解決するために設計されており、より低い手数料、より低い価格で取引を処理できます。2021年以降、イーサリアムに依存する第二層拡張システムは急速に発展しています。

サイドチェーンと第二層拡張システムは、どちらもブロックチェーンメインネットのスケーラビリティを解決するために設計されています。両者の主な違いは、サイドチェーンはブロックチェーンメインネットの安全性と一貫性に依存しないのに対し、第二層拡張システムは依存する必要があるという点です。

2023年第三四半期には、合計14件のブロックチェーンに関連するセキュリティ事件が発生しました。以下の図は、ブロックチェーンメインネット、サイドチェーン、第二層拡張システムの各所占の割合を示しています。

上の図から、ブロックチェーンメインネット関連のセキュリティ事件と第二層拡張システム関連のセキュリティ事件の数は、それぞれ92.86%（13件）と7.14%（1件）を占めています。典型的なサイドチェーンセキュリティ事件はありません。第二層拡張システムのセキュリティ事件に関与するシステムにはMetis[6]があり、ブロックチェーンメインネットのセキュリティ事件にはMixin[7]、Quai Network[8]、Swisstronik[9]、SwapDex Blockchain[10]、Aptos[11]などが含まれています。

DAPPセキュリティ事件

172件のdAppsに関連するセキュリティ事件の中で、16件は逃亡、1件は巻き込まれ、155件は直接攻撃を受けました。dAppへの直接攻撃は通常、以下の三つの側面に関連します：

dAppのフロントエンド、バックエンド、スマートコントラクトです。したがって、155件の直接攻撃を受けた事件を以下の三つのカテゴリに分けます： i. dAppフロントエンド ii. dAppバックエンド iii. dAppコントラクト

dAppフロントエンドが攻撃を受けた事件では、ハッカーは主にフロントエンドの脆弱性を利用して攻撃し、資産を盗むか、サービスを麻痺させます。

dAppバックエンドが攻撃を受けた事件では、ハッカーは主にバックエンドの脆弱性を利用して攻撃し、バックエンドとコントラクトの通信をハイジャックし、資産を盗むか、サービスを麻痺させます。

dAppコントラクトが攻撃を受けた事件では、ハッカーは主にコントラクトの脆弱性を利用して攻撃し、資産を盗むか、サービスを麻痺させます。以下の図は、これら三つのカテゴリの攻撃事件の割合を示しています：

上の図から、コントラクト、バックエンド、フロントエンドの攻撃事件の割合はそれぞれ19.35%、0%、80.65%です。合計155件の事件の中で、125件がフロントエンドの攻撃、30件がコントラクトの攻撃です。

私たちは、各種事件による暗号資産の損失額をさらに調査しました。その結果、コントラクトの攻撃による損失は2.1億ドル、フロントエンドの攻撃による損失は3980万ドルであり、両者の総損失額に対する割合はそれぞれ84.03%と15.97%です。以下の図に示します：

多くのコントラクトの脆弱性の中で、ロジックの欠陥、秘密鍵の漏洩、フラッシュローン攻撃、再入攻撃が典型的な脆弱性です。

私たちは、コントラクトが直接攻撃を受けた30件のセキュリティ事件を調査し、以下の割合図を得ました：

上の図から、ロジックの欠陥がコントラクトセキュリティ事件の割合で最も高いことがわかります。ロジックの欠陥には、パラメータ検証の欠如、権限検証の欠如などが含まれます。ロジックの欠陥によるセキュリティ事件の数は13件です。

以下の図は、各種脆弱性による損失額の割合を示しています：

秘密鍵の漏洩による損失額の割合が最も高いです。4件の秘密鍵漏洩事件は合計1.73億ドルの損失を引き起こし、損失総額の82.56%を占めています。

成因に基づくセキュリティ事故の分類

ブロックチェーンセキュリティ事故の成因に基づいて、事故を三つのカテゴリに分けます： i. ハッカーの攻撃によるもの

ii. 逃亡 iii. その他

私たちの研究結果は以下の図に示されています：

上の図から、ハッカーの攻撃と逃亡によるセキュリティ事故はそれぞれ91.92%（182件）と8.08%（16件）を占めています。

私たちは、これらの成因による損失を調査しました。以下の図に示します：

上の図から、ハッカーの攻撃と逃亡による損失額はそれぞれ94.69%と5.31%を占め、前者は5.41億ドルの損失を、後者は3035万ドルの損失を引き起こしました。これは、2023年第三四半期において、ハッカーの攻撃が依然として業界のセキュリティが直面する主要な脅威であることを示しています。

ハッカー攻撃事件について、私たちは以下の図を調査しました：

上の図から、ハッカーがdApp、ブロックチェーン、CCBS、クロスチェーンブリッジを攻撃した事件の割合はそれぞれ87.64%（156件）、7.87%（14件）、2.25%（4件）、2.25%（4件）です。

私たちは、各種事件による損失額を調査しました。以下の図に示します：

ハッカーによるブロックチェーン、dApp、クロスチェーンブリッジ、CCBSへの攻撃による資産損失の割合はそれぞれ36.97%、46.25%、0.79%、15.99%であり、具体的な損失額はそれぞれ2億ドル、2.5億ドル、8650万ドル、430万ドルです。他のセキュリティ事件は明らかな損失額を引き起こしていません。

逃亡事件

2023年第三四半期に発生した典型的な逃亡事件はすべてdAppプロジェクトに関連しています。合計16件の逃亡事件による損失額は3035万ドルに達しました。この損失額は、ハッカーの攻撃による損失額に比べてはるかに小さいです。

研究結果

私たちの統計データによると、2023年第三四半期において、ハッカーが最も好んで攻撃するターゲットは依然としてdAppプロジェクトであり、dAppへの攻撃事件は他のどの対象よりもはるかに多く、攻撃数は総数の87.64%、損失額は総損失額の46.25%を占めています。すべての攻撃事件の中で、最も深刻なのはMultichain[12]への攻撃です。

全体のブロックチェーンエコシステムにとって、ハッカーは依然として最大のセキュリティ脅威であり、その影響はセキュリティ事件の数や資産損失の観点からも明らかです。ハッカーの攻撃によるセキュリティ事件の数は、全体のセキュリティ事件の91.92%を超え、逃亡事件がエコシステムに与える脅威を大きく上回っています。

典型的なdAppは三つの部分から構成されています：フロントエンド、バックエンド、スマートコントラクト。ハッカーがdAppを攻撃する際には、その一部を攻撃するか、複数の部分を同時に攻撃します。私たちの統計データによると、dAppフロントエンドへの攻撃はコントラクトへの攻撃よりも数が多いですが、スマートコントラクトへの攻撃による損失額はフロントエンドへの攻撃による損失額を大きく上回っています。

これは、スマートコントラクトの脆弱性が依然としてdAppセキュリティの最大のリスクであることを示しています。

2023年第三四半期の典型的な逃亡事件はすべてdAppプロジェクトで発生しました。

スマートコントラクトがハッカーに攻撃された事件では、以下の三つのカテゴリの原因による攻撃事件の数が上位三位にランクインしています：第一位：ロジックの欠陥第二位：フラッシュローン

しかし、損失額の観点から見ると、秘密鍵の漏洩による攻撃が最も多くの資産損失を引き起こしており、他のカテゴリを大きく上回っています。

セキュリティ事故の防止策と対策

本節では、2023年第三四半期に発生したセキュリティ事故の特徴に基づいて、ブロックチェーン開発者やユーザーがブロックチェーンリスクを管理し、防止するためのいくつかの提案と対策をまとめます。私たちは、ブロックチェーン開発者やユーザーが日常の操作や作業の中で、これらの提案や対策を積極的に実施し、プロジェクトの安全性と暗号資産の安全性を最大限に保護することを推奨します。

注：「ブロックチェーン開発者」は、ブロックチェーンプロジェクト自体の開発エンジニアだけでなく、ブロックチェーンシステムやその関連システム（例：暗号資産など）の開発者を指します。「ブロックチェーンユーザー」は、ブロックチェーンシステムの活動（管理、運営、保守など）や暗号資産取引に参加するすべてのユーザーを指します。

ブロックチェーン開発者向け

第三四半期には、典型的な第二層拡張システムに関連するセキュリティ事件は発生しませんでしたが、第二層拡張システムのセキュリティは依然として重要です。今後、第二層拡張ソリューションの発展と実装は、エコシステム全体のホットトピックと重点となるため、その安全性の研究は業界が直面する重大な課題となるでしょう。

ブロックチェーンアプリケーションにおいて、プロジェクトが展開され、安定して運営される一定期間が経過した後、プロジェクト内の重要な操作の権限をマルチシグウォレットまたはDAO組織に移転して管理することは非常に重要なステップです。

ハッカーがスマートコントラクトの脆弱性を発見した場合、しばしばフラッシュローンを利用してコントラクトを攻撃します。これらの脆弱性は、再入脆弱性、ロジックの欠陥（例：権限検証の欠如、誤った価格アルゴリズムなど）を含む可能性があります。これらの脆弱性を厳格に防止し、対処することは、スマートコントラクト開発者にとって常に重要であり、最優先事項として扱う必要があります。

私たちの統計データは、ますます多くのハッカーがソーシャルメディアソフトウェア（例：Discord、Twitterなど）を通じてフィッシング攻撃を仕掛けていることを示しています。この現象は2022年全体にわたり、2023年第三四半期まで続いています。多くのユーザーがその中で損失を被りました。プロジェクト側は、運営するソーシャルメディアに対して厳格かつ包括的な管理を実施し、相応のセキュリティ対策を講じて、そのソーシャルメディアの運営の安全性と安定性を確保し、ハッカーによる利用を防ぐ必要があります。

ブロックチェーンユーザー向け

ますます多くのユーザーがさまざまなブロックチェーンエコシステムの活動に参加し、さまざまなブロックチェーンエコシステムの資産を保有しています。この過程で、クロスチェーン取引活動も急速に増加しています。ユーザーがクロスチェーン取引に参加する際、ユーザーはクロスチェーンブリッジと相互作用する必要がありますが、クロスチェーンブリッジはハッカーが頻繁に狙う攻撃対象です。したがって、ユーザーはクロスチェーン取引を開始する前に、使用するクロスチェーンブリッジのセキュリティ状況と運営状況を詳細に調査し、クロスチェーンブリッジの安全性、安定性、信頼性を確保する必要があります。

ユーザーがdAppと相互作用する際には、そのスマートコントラクトの品質と安全性に高い関心を持つ必要があり、同時にdAppフロントエンドの安全性にも注意を払う必要があります。フロントエンドに表示される不明な出所の情報、高度に疑わしい情報、提示、対話などには注意を払い、軽率にクリックしたり、その指示に従って操作したりしないようにしてください。

私たちは、ユーザーが任意のブロックチェーンプロジェクトと相互作用する前や、ブロックチェーンプロジェクトに投資する前に、そのプロジェクトの監査報告書を慎重に確認し、読むことを強く推奨します。監査報告書がない、または報告書が疑わしいプロジェクトには慎重に参加してください。

私たちは、ユーザーができるだけコールドウォレットまたはマルチシグウォレットを使用して、大額の資産や頻繁に取引しない資産を管理することを推奨します。ホットウォレットの運営の安全性に常に注意を払い、ホットウォレットをインストールするハードウェアプラットフォーム自体が安全、信頼性が高く、安定していることを確認してください。

ユーザーは、ブロックチェーンプロジェクトのチームの背景について一定の調査と理解を行う必要があります。チームの背景が不明確で信用が欠如しているチームには注意が必要です。このようなプロジェクトには、逃亡リスクが発生する可能性があります。頻繁に使用される中央集権型取引所については、ユーザーはその背景と信用に特に注意を払い、できるだけ多くの第三者データソースからこれらの取引所の背景、情報、データを確認し、取引所が長期的に安全に運営できることを確保してください。