paint-brush
史上最高の仮想通貨と DeFi ハック トップ 5@obyte
186 測定値

史上最高の仮想通貨と DeFi ハック トップ 5

Obyte8m2023/10/09
Read on Terminal Reader

長すぎる; 読むには

この調査では、マウントゴックスから近年(2023年まで)まで、史上最悪の暗号通貨とDeFiのハッキングを詳しく掘り下げます。
featured image - 史上最高の仮想通貨と DeFi ハック トップ 5
Obyte HackerNoon profile picture
0-item


刺激的だが危険な仮想通貨の世界では、経済的自由の追求には相応の課題が伴います。デジタル通貨が注目を集め続ける(そして価格が上昇する)につれて、金銭的利益を得るために脆弱性を悪用しようとする悪意のある攻撃者にとって、デジタル通貨は主な標的にもなっています。この調査では、マウントゴックスから近年(2023 年まで)までの史上最悪の暗号ハッキングを詳しく掘り下げます。


さらに、DAG ベースの暗号通貨の領域にも踏み込み、これらの革新的な有向非巡回グラフベースのネットワークが独自の一連のセキュリティ課題に直面した事例を調査します。イノベーションが脆弱性と遭遇し、リスクがかつてないほど高まっている暗号通貨の世界の浮き沈みを乗り越える旅に備えてください。

マウントゴックスマウントゴックスのロゴ

厳密に言うと、理論上は、2014 年の今回の攻撃以来、より高額の報奨金がかかる攻撃がありました。しかし、その年の暗号通貨の世界全体は、基本的にはビットコイン (BTC) だけでした。そしてマウントゴックスは世界をリードするビットコイン取引所でした。価格が非常に不安定な中、このプラットフォームは世界中の総取引の 70% 以上を処理していました。その後、数多くの問題と隠れたハッキングを経て、2014 年 2 月に深刻な支払い能力の問題が明らかになりました。


2月7日にはすべての出金が弱々しい言い訳で停止された。2月23日、CEOのマーク・カルペレス氏がビットコイン財団の理事を辞任し、マウントゴックスのツイートをすべて削除した。翌日、ウェブサイトがオフラインになり、漏洩した文書744.408BTC(当時約4億7,300万ドル)の損失を示しました。現在の価格に換算すると191億ドルを超えることになる[CMC]。


流出した文書に記載されているように、ハッカーたちは数年間にわたり、同社が知らないうちにマウントゴックスからビットコインを吸い上げていた。によるとWizSec の調査、どういうわけか、ハッカーはマウントゴックスのビットコインホット(オンライン)ウォレットから秘密鍵を盗むことに成功し、これにより彼らは為替資金を自由に扱うことができるようになりました。台帳としてのビットコインはハッキングされず、取引所のみがハッキングされたため、セキュリティは最高ではなかったと言わざるを得ません。


当時の暗号通貨コミュニティの規模はまだ小さかったため、その打撃は壊滅的でした。ビットコインは2月から12月までに43%以上下落した。 2015 年後半まで改善の兆しは見られませんでした。マウントゴックスのハッキング被害者は、何らかの形で補償の希望が得られるまで何年も待たなければなりませんでした。大規模な法廷闘争の末、マウントゴックス管財人は、 ついに返済する2023 年 10 月末までに取引所の債権者に通知します。

コインチェック

2018年1月、日本の著名な仮想通貨取引所であるコインチェックが史上最大規模の仮想通貨ハッキングの被害に遭った。ハッカーは取引所のセキュリティ システムの脆弱性を悪用し、Coincheck のホット ウォレット (オンライン) にアクセスしました。彼らは約5億2,300万のNEM(XEM)トークンを盗み、当時の価値は約5億3,000万ドルに達しました。

コインチェックのロゴ


報告によるといくつかの情報源、マルウェアに感染した電子メールをコインチェックの従業員に送信することで侵害が実行され、攻撃者が内部システムを制御できるようになりました。侵入すると、盗んだ XEM トークンをさまざまなアドレスに迅速に転送したため、資金の追跡が困難になりました。


その後、コインチェックは規制当局からの厳しい監視にさらされ、セキュリティ対策の改善と大規模な償還の取り組みにつながった。交換誓った被害を受けたユーザーに対し、盗まれたXEMトークンを当時の市場価格を大幅に下回る1コインあたり88.549円で返却することで補償する。彼らは自分たちの資金でそれを行いました。


かかわらず償還の取り組み、このハッキングはCoincheckとより広範な暗号通貨コミュニティの両方に大きな影響を残しました。これは、集中型暗号通貨交換に伴うセキュリティ リスクと堅牢なセキュリティ プロトコルの重要性をはっきりと思い出させるものとなりました。コインチェック社のこの事件への対応は、取引所に預けられた資金の安全性について疑問を引き起こし、世界中の規制当局が投資家を保護し将来の侵害を防ぐために仮想通貨プラットフォームの監視を強化するよう促した。

BSCトークンハブ

バイナンスブランドも問題から免除されているわけではない。 2022年10月7日、BNBビーコンチェーンとBNBスマートチェーン間のBNBスマートチェーンのネイティブクロスチェーンブリッジがハッキングの被害に遭いました。この悪用により、被害を抑えるためにバイナンス スマート チェーンが一時的に停止されました。攻撃者は、当時約 5 億 6,600 万ドル相当の 200 万枚の BNB トークンを不正に鋳造しました。その大部分はチームによってすぐに凍結されましたが、ハッカーは約1億3,700万ドルを他のチェーンに移すことに成功しました。

バイナンス スマート チェーンのロゴ


違反攻撃は、2022 年 10 月 5 日に ChangeNOW ウォレットから 100 BNB を受け取ったことから始まりました。これにより、攻撃者は BSC トークン ハブの中継者として登録できるようになり、BNB ビーコン チェーン (BEP2) とバイナンス スマート チェーン (BEP20) 間のクロスチェーン トランザクションが容易になります。 。攻撃者は、BSC トークン ハブが証明を検証する方法の脆弱性を悪用し、任意のメッセージを偽造し、2 つのトランザクションで 200 万 BNB の作成と引き出しを開始しました。


攻撃者は、盗んだ資金をすぐに取引所に流出させるのではなく、BNB チェーンで人気のある融資プロトコルである Venus を使用しました。彼らは 90 万 BNB を担保にして、USDT、USDC、BUSD などのステーブルコインを 5 回の取引で借り入れ、その価値は 2 億 5,000 万ドルを超えました。これらのステーブルコインはブリッジを使用して複数のチェーンにルーティングされ、検出を回避するためにさまざまな DeFi 製品が採用されました。


ハッキング後、BSCは不規則な活動を理由にチェーンを停止し、さらなる資金移動を阻止した。攻撃者のチェーン全体のバランスは綿密に監視されました。 BNB チェーンは、脆弱性に対処するためにハードフォーク (アップデート) を実装し、将来の攻撃に対抗するために新しいオンチェーン ガバナンス メカニズムを導入しました。

ポリネットワーク

異なるチェーン間の取引を容易にする相互運用性プロトコルである Poly Network が、2021 年 8 月 10 日にエクスプロイトの被害者になりました。匿名のハッカーによって組織化され、その結果、6 億 1,000 万ドルを超える仮想通貨が彼らの管理下に移されました。彼らはETH、USDC、DAI、UNI、SHIB、FEI、MATIC、およびいくつかのBSCトークンを盗みました。それらはすべて一般のコミュニティメンバーからのものです。注目すべきは、これは分散型金融(DeFi)の歴史の中で最大のセキュリティインシデントの1つであったということです。 ポリネットワークのロゴ

ハッカーたち盗んだ資金をイーサリアム、バイナンス・スマート・チェーン、ポリゴン上で管理するアドレスに移動させた。攻撃後、Polyチームは取引所やマイナーに対し、盗まれたトークンの流れを監視するよう呼び掛け、ハッカーの取引を停止するよう促した。テザーは3,300万ドル相当のUSDTを凍結した。


驚くべき事態の展開として、ハッカーは 2021 年 8 月 11 日にトークンを返却する意向を発表し、盗難の目的は脆弱性を暴露し、Poly Network のセキュリティを強化したと主張しました。彼らはトランザクションに埋め込みメッセージを使用して公に通信しました。


これに応じて、プロトコル チームは回復プロセスを開始し、ハッカーを「ミスター ホワイト ハット」と呼びました。彼らは、50万ドルのバグ報奨金と、残りの資産の安全な返還を保証するための「最高セキュリティアドバイザー」の役割を提供しました。盗まれた資金の最後の部分が返還されました8月23日


この事件は、ハッカーに対する「ホワイトハット」という用語の使用をめぐって論争を巻き起こし、犯罪ハッカーが自らの行為を無害化する前例となる可能性があるとの懸念を表明した。しかし、Poly Network はセキュリティを向上させるためにバグ報奨金プログラムを開始し、セキュリティ機関やホワイト ハット組織に中核機能の監査を依頼しました。重大な脆弱性に対しては最大 10 万ドルの報奨金が提供されました。

ローニン(アクスィー・インフィニティ)

これは、暗号通貨の世界で史上最大のハッキングと考えられています。 2022 年 3 月 23 日、ゲーム Axie Infinity のイーサリアム サイドチェーンである Ronin Network が大規模な攻撃の犠牲になりました。ハッカーは合計173,600 ETH と 2,550 万 USDC を盗み出しました。 6億2,500万ドル以上、これまでの記録破りの暗号通貨強盗を上回りました。


Ronin のロゴ


ハックRonin と他のエコシステム間の資産転送に重要なコンポーネントである Ronin ブリッジを悪用しました。攻撃者は、Sky Mavis (Axie Infinity の背後にある会社) でホストされている 4 つの Ronin バリデーター キーを制御しました。ブロックチェーンでは、この少数のキーでネットワークを制御するのに十分であることが一般的です。この計画を完了するために、彼らはガスフリー RPC ノードを介してバックドアを利用し、Axie DAO バリデーターの署名を取得しました。これにより、偽の出金を実行するために必要なすべてのキーを制御できるようになりました。


Sky Mavis は、攻撃から 6 日後にユーザーが出金に関する問題を報告した後、この侵害を検出しました。盗まれた資金の大部分はハッカーの手元に残りましたが、彼らは集中化された暗号交換を通じてより少額を引き出しようとしました。少なくともスカイ・メイビスは妥協したユーザーに返金するため。


この事件により、Ronin のトークン価格は 20% 以上急落し、すでに一連の注目を集めている攻撃に直面している DeFi 分野内の懸念がさらに悪化しました。仮想通貨取引所のバイナンスとフォビは、盗まれた資金の追跡とアクシー・インフィニティのユーザーへの返還を支援すると約束する一方、スカイ・メイビスはハッカーを裁くために政府機関と協力している。

Obyte のような DAG ではこれらすべてが可能ですか?

Obyte のような有向非巡回グラフ (DAG) 台帳には独自の構造とコンセンサス メカニズムがあり、ブロックチェーン システムと比較して分散化の点で一定の利点を提供できます。ただし、セキュリティの脆弱性やハッキングの可能性を完全に免れるわけではありません。


有向非巡回グラフ (DAG) 台帳


具体的な攻撃ベクトルと潜在的な悪用ブロックチェーンのシステムとは異なる場合がありますが、DAG ベースのシステムは依然としてさまざまな種類の攻撃の影響を受けやすい可能性があります。関連するプラットフォームに応じて、次のような懸念が考えられます。


  • シビル攻撃:加害者は、ネットワークを制御するために多数の偽のアイデンティティやノードを作成し、人為的な影響や操作を通じてネットワークの信頼、セキュリティ、合意メカニズムを侵害します。この問題に対して脆弱なのは、単純に設計された一部の DAG のみであり、通常は集中化 (IOTA など) によって解決されます。

  • スマート コントラクトの脆弱性:コーディングの欠陥を悪用して、不正なアクションを実行したり、資産を吸い上げたり、分散型アプリケーションを中断したりすることで、多くの場合、経済的損失につながります。

  • 二重支出:ユーザーが暗号通貨トランザクションを複製し、同じデジタル資産を複数回使用できるようにして台帳の完全性を損なう詐欺行為。ブロックチェーンの場合と同様、この問題は、ユーザーが最終性を待たずに (または確定的な最終性がない場合は十分な時間待機せずに) 支払いを受け入れた場合にのみ発生します。

  • 集中化の可能性:一部の DAG には、ネットワーク内の少数のエンティティ (企業、マイナー、バリデータなど) による過剰な制御や影響が発生し、分散化が損なわれ、セキュリティ、不変性、信頼性が損なわれる可能性があります。ただし、Obyte のオーダー プロバイダーの場合は当てはまりません。

  • 外部取引所の障害:外部仮想通貨取引所の脆弱性は、セキュリティ侵害、ハッキング事件、または取引所の破産を引き起こし、多大な経済的損失や取引活動の中断を引き起こす可能性があります。


すべての DAG がこれらすべての問題の影響を受けるわけではなく、DAG には問題を回避するための独自の方法があります。したがって、DAG には独自の一連の利点がありますが、セキュリティ上の懸念がないわけではありません。潜在的な攻撃の具体的な性質は異なる場合がありますが、分散型台帳を保護するという基本原則は依然として適用されます。ブロックチェーンまたは DAG ベースのシステムにおけるセキュリティの脆弱性を継続的に評価し、対処することが不可欠です。


だからこそオバイトにはバグ報奨金プログラムImmunefi では、バグを見つけたら誰でも報告できます。重大なバグごとに最大 50,000 ドルを提供します。これまでのところ、Obyte は Immunefi を通じてホワイト ハットに約 5,000 米ドルを支払っており、このプログラムの前にはバグ報告に対して約 10,000 米ドルを支払っています。セキュリティは、あらゆる種類の暗号プラットフォームにとって常に不可欠です。




注目のベクター画像フリーピク