paint-brush
DAG ネットワークに関連する 5 つのセキュリティ インシデントと身を守る方法@obyte
387 測定値
387 測定値

DAG ネットワークに関連する 5 つのセキュリティ インシデントと身を守る方法

Obyte8m2023/10/25
Read on Terminal Reader

長すぎる; 読むには

DAG プラットフォームに関連するいくつかの攻撃をさらに詳しく掘り下げ、関連サービスがハッキングの試みの犠牲になった 5 つの事例を詳しく説明します。
featured image - DAG ネットワークに関連する 5 つのセキュリティ インシデントと身を守る方法
Obyte HackerNoon profile picture
0-item

有向非巡回グラフ (DAG) は、ブロックチェーン テクノロジーの有望な代替手段として浮上しています。ブロックチェーンとは異なり、DAG は、トランザクションが方向性のある非循環的な方法でリンクされ、合意に達するための新しい方法を備えた独自の構造を誇ります。このイノベーションにより、より高速なトランザクション速度とより高い分散化が約束され、暗号通貨愛好家にとって魅力的な選択肢となっています。ただし、それらには独自のセキュリティ上の課題が伴う可能性があります。


結局のところ、バグ報奨金プログラムには理由があります。ただし、これまでのところ、DAG 構造はハッキングされていないと言えます。一方、ソーシャルメディアやスマートコントラクトなどの関連サービスは別の話です。サイバー犯罪者は最も脆弱なポイントをターゲットにし、通常は DAG 自体の外側にありますが、とにかくユーザーをターゲットにします。


DAG プラットフォームに関連するいくつかの攻撃をさらに詳しく掘り下げ、関連サービスがハッキングの試みの犠牲になった 5 つの事例を詳しく説明します。さらに、そのような脅威から身を守るための戦略とベスト プラクティスについても説明します。あなたが経験豊富な投資家であっても、初心者であっても、理解することこれらの課題ますます複雑化する暗号エコシステムでデジタル資産を保護するためには不可欠です。


ナノ + ビットグレイル


2018 年、仮想通貨の世界は、イタリアの仮想通貨取引所 BitGrail とデジタル通貨 Nano (旧名 Raiblocks) に関わる大規模なセキュリティ侵害を目撃しました。この通貨は DAG (より正確にはブロック ラティス) のような構造の台帳を使用しており、そのコンセンサス システムはプルーフ オブ ステーク (PoS) ブロックチェーンに非常に似ています。


事件この問題は、BitGrail がプラットフォームから大量の Nano トークンが欠落していると報告したときに始まりました。同取引所の創設者フランチェスコ・フィラノ氏は、ハッキングにより約1700万枚のNanoトークン(当時の約1億7000万ドルに相当)が盗まれたと主張した。


2017 年の BitGrail、RaiBlocks (Nano) の取引。インターネット アーカイブからの画像

BitGrail ハッキングの余波は、取引所の経営陣と Nano 開発チームの間で物議を醸した論争によって特徴づけられました。フィラノ氏は当初、この脆弱性の原因はNanoのコードにあると示唆し、盗難は開発者のせいだと主張した。彼は、(ハッキングを消去するために) 議論の余地のあるフォーク (アップデート) を Nano チームが保持することを要求しましたが、彼らは拒否しました。


その後のさらなる調査により、BitGrail のセキュリティ対策と内部統制が不十分であり、ユーザーの資金が侵害されたことが明らかになりました。確かに、このハッキングはちょうど Nano の価格上昇に合わせて起こり、Firano は侵害が 2017 年から起こっていたことを隠していました。BitGrail と Firano は少なくとも2つの集団訴訟、そして最終的には、フィラノが攻撃の直接の責任であることが判明しました。


この場合、DAG は攻撃されませんでしたが、ユーザーは間違った会社を信頼しました。集中型取引所では、資金への秘密鍵がありません。代わりに、パスワード付きのアカウントのみが提供され、資金はその会社によって完全に保管(管理)されます。彼らが負ければ(ハッキングや破産など)、あなたも負けます。だからこそ、取引所を永続的なウォレットとして使用しないことが重要です。


IOTA + ムーンペイ


IOTA は、有向非巡回グラフ (DAG) テクノロジーを利用してより高速なトランザクションを可能にする暗号通貨プラットフォームであり、モノのインターネット (IoT) 分野に焦点を当てています。ブロックチェーンとは異なり、IOTA の Tangle DAG を使用すると、ユーザーは他のトランザクションを確認することでトランザクションを検証できますが、コンセンサスを達成するための最終的なコーディネーター ノードが存在します。彼らは(2016年から)それを排除するつもりですが、それまでの間、コーディネーターはIOTA財団によって管理されており、ネットワークは集中化されています。


IOTAウェブサイト

それは 2020 年 2 月に大規模な侵害の後、コーディネーターによってネットワーク全体が凍結されたことで大きく証明されました。当時、ハッカーは IOTA のネイティブ トークン MIOTA をユーザーから直接 850 万ドル (当時で約 200 万ドル) を盗みました。 IOTA トリニティウォレットMoonpay (仮想通貨決済サービス) からのサードパーティへの依存によりセキュリティ侵害が発生し、Moonpay のサーバーから違法バージョンの Moonpay SDK が読み込まれ、ユーザーのウォレット シードが侵害されました。


サイバー犯罪者は、キャッシュされたファイルを上書きして痕跡を消去するために、新しい Trinity バージョンを待っていました。 IOTA財団は、コーディネーターの停止や公開状況の最新情報を含むインシデント管理計画の作成などの即時措置を講じました。この攻撃には、DNS 傍受、コード変更、API キーの悪用が含まれていました。


IOTA は、影響を受けるユーザー向けの移行ツールを開発し、分析ツールを強化し、セキュリティ専門家や法執行機関と協力することで対応しました。 Trinity はもう使用されておらず、MoonPay は使用されていません協力した彼らと一緒に問題を解決してください。つまり、繰り返しますが、侵害されたのは DAG ではなく、DAG に関連する外部サービスでした。


ヘデラハッシュグラフ


Hedera Hashgraph は、コンセンサスのために有向非巡回グラフ (DAG) を利用する分散型台帳システムです。ヘデラではゴシッププロトコル、ノードは互いに新しい情報を共有し、複数回の共有ラウンドを通じて徐々に合意に達します。この情報共有イベントの履歴は、DAG の一種であるハッシュグラフとして表されます。このシステムは特許を取得していますが、エラーがないわけではありません。


ブロックチェーンとハッシュグラフ。ヘデラによる画像

2023 年 3 月 9 日、Hedera Hashgraph ネットワーク犠牲者になったスマート コントラクトのエクスプロイトにより、Pangolin、SaucerSwap、HeliSwap などの分散型取引所 (DEX) からさまざまなトークンが盗まれます。小売ユーザー アカウントと Hedera ウォレットは影響を受けませんでしたが、攻撃者は 60 万ドル近く相当のトークンを盗むことに成功しました。これらには、DAI Stablecoin、Tether USD、USD Coin、Wrapped HBAR が含まれます。


攻撃を軽減するために迅速な措置が取られました。 DEX とブリッジは協力して、違反の警告を受けてから 1 時間以内にブリッジを通過するトークンの流れを停止しました。 Hedera チームは、Hedera メインネットへのプロキシ アクセスを無効にし (IOTA のようにネットワークが集中化されているおかげで)、ユーザーと攻撃者によるさらなるアクセスを防ぎました。脆弱性の発見から 41 時間以内に修正が迅速に開発、テスト、実装されました。


他の DAG での以前の攻撃とは異なり、今回は実際にネイティブ システム、特にスマート コントラクト層が侵害されました。チームはそれを軽減するために迅速に行動しました。


スイネットワーク + Discord


Sui Network は、2023 年 5 月に開始された分散型台帳です。トランザクションを単純なもの (送金など) と複雑なもの (オンライン オークションなど) に分割します。単純なトランザクションにはコンセンサスは必要ありませんが、複雑なトランザクションProof-of-Stake (PoS) バリデーターと、Bullshark と呼ばれる高スループット DAG ベースのコンセンサス プロトコルを使用します。


スイネットワークTwitter(X)アカウント

このネットワークは、特に新しいテクノロジーに関しては、予防が重要であることを証明しました。メインネットのリリースの直前に、セキュリティ会社 CertiK はシステムに重大なバグを発見しました。この欠陥は、悪意のあるスマート コントラクトによって引き起こされる可能性のある、Sui のコード内の無限ループのバグでした。 「HamsterWheel 攻撃」として知られるこのタイプの攻撃は、ノードをクラッシュさせるのではなく、新しいトランザクションを処理せずにノードを無限に実行し続け、ネットワークを動作不能にします。


バグが発生したら特定された、Sui 開発者はその影響を軽減するために修正を迅速に実装し、CertiK はこれらの修正がすでに展開されていることを確認しました。 Sui Foundation はバグ報奨金として CertiK に 500,000 ドルを授与しました。ただし、このプラットフォームが直面する脅威はそれだけではありませんでした。


潜在的なバグが発生する前でさえ、2022 年 8 月にMysten Labs (Sui クリエイター) の Discord サーバーがハッキングされました。お知らせがシェアされましたTwitter上で、イベントのせいで資金を失ったとして数人のユーザーが苦情を言いました。この事件には、ハッカーがサーバーのアナウンスチャンネルでエアドロップとされるものへのリンクを共有したことが関係していた。それ以来、チャットでのセキュリティと検証プロセスを強化しました。

アバランチ + DeFi


Avalanche は、ブロックチェーンの代わりに DAG 構造を使用する別の暗号プロトコルです。それは、 異なるチェーン:スマートコントラクト用のコントラクトチェーン(Cチェーン)、低手数料での高速資金移動用の取引チェーン(Xチェーン)、ステーキングと報酬用のプラットフォームチェーン(Pチェーン)。特に X-Chain は DAG テクノロジーを活用して、高スループットと迅速なトランザクションのファイナリティを実現します。


アバランチのウェブサイト


Avalanche をベースにしたいくつかの DeFi プロトコルは、長年にわたって重要な攻撃に直面してきました。最初の注目を集めたハッキングは融資プラットフォームに対するものでしたヴィー・ファイナンスこの攻撃は、価格情報を単一の情報源 (オラクル) に依存していたため発生しましたが、この情報源が小数点を適切に処理していませんでした。これにより、攻撃者は価格を操作し、取引されるはずのないペアで取引を実行することが可能になりました。


その結果、8,804.7 ETHと213.93 BTC(当時約3,600万ドル)が不正に出金されました。その後、トークンはイーサリアムにブリッジされ、攻撃者の所有物のままになります。 Vee Financeはプラットフォーム契約と関連機能を停止し(これは、プラットフォームがDeFiという用語が意味するほど分散化されていないことを示した)、積極的に資産回収の取り組みを進めた。しかし、Avalanche はこれだけではありませんでした。やがてさらなる攻撃が来るだろう。


昨年 2023 年 2 月、さらに 2 つの DeFi プロトコル、マルチチェーン アグリゲーター Dexible と DEX Platypus が再びハッキングされました。 最初のケースでは、攻撃者はアプリのselfSwap機能を利用して、アプリにトークンへのアクセスを許可したユーザーから200万ドル以上の暗号通貨を移動させました。 Dexibleは契約を一時停止し、ユーザーにトークンの認可を取り消すよう勧告した。


2番目のケースでは、カモノハシ迷ったフラッシュローン攻撃で850万ドル。ハッカーは、未検証のソース コードを含む悪意のあるスマート コントラクトを使用して、プロトコルのアセット コントラクトを悪用しました。さて、これら3つのケースについては、当初からDeFi開発者から一部のバグが漏れ、その結果資金が損失したと言えます。


DAG リスクから身を守る


有向非巡回グラフ (DAG) プラットフォームの平均的なユーザーの場合、リスクを軽減するためにいくつかの主要なセキュリティ対策と保護を適用できます。


  • 評判の良いサービスを使用する:ウォレットや取引所などのサードパーティのサービスを使用する前に、セキュリティに関して良い評判があることを確認するために調査を行ってください。また、大量の仮想通貨を取引所に長期間放置しないようにしてください。
  • 秘密鍵を保護する:秘密鍵を管理できるウォレットをお持ちの場合は、それを使用してください。これは、資金を直接管理できることを意味します。コールド ウォレットは追加のセキュリティ層を提供します。


  • 強力なパスワードを使用し、2FA を有効にする:暗号通貨関連のアカウントを扱うときは、強力で固有のパスワードを使用してください。パスワードを安全に保つために、信頼できるパスワード マネージャーを使用することを検討してください。可能な限り、アカウントで 2 要素認証 (2FA) を有効にしてください。


Obyte では、マルチデバイス アカウントを 2FA として作成して処理できます。


  • 最新情報を入手:使用している DAG プラットフォームに関する最新のニュースや開発情報を入手してください。潜在的な脆弱性を理解することは、予防措置を講じるのに役立ちます。
  • フィッシング詐欺に注意してください:ログイン情報や秘密キーを盗むことを目的としたフィッシングメール、メッセージ、Web サイトに注意してください。 URL とソースを常に再確認してください。


  • 権限を定期的に確認する:ウォレットまたはトークンへのアクセス許可を要求するアプリケーションまたはサービスについては、それらの権限を確認し、必要なくなったら取り消してください。

  • 投資を多様化する:すべての資産を単一の暗号通貨またはプラットフォームに投入することは避けてください。分散はリスクを分散するのに役立ちます。


これまでのところ、Obyte (これも暗号 DAG プラットフォーム) は、そのシステムや関連サービスで注目を集めるハッキングを受けていません。ただし、だからといって彼らが攻撃を受けないわけではありません。バグ報奨金プログラムImmunefi で活動しており、熟練した開発者には高額の報酬が与えられます。ただし、常に次のことを適用することが重要です。 最善のセキュリティ対策自分のウォレットを使用して、各プラットフォームについて独自に調査してください。



注目のベクター画像フリーピク