1,371 測定値

Web3、良好な衛生状態、およびエンドツーエンドセキュリティの必要性

に Ronghui Gu2022/06/13

長すぎる; 読むには

新しいブロックチェーンプロジェクトは、セキュリティチェックを開始前に片付けるものとして扱い、二度と考えないようにします。これを行うプロジェクトは、監査は実際のセキュリティよりもマーケティング目的であると考えているようです。 FEG (Feed Every Gorilla) ミームトークンは最近 2 回のフラッシュローン攻撃に見舞われ、2 日間でプロトコルから総額 320 万ドルの資金が流出しました。優れたスマートコントラクトの監査では、プロジェクトの基盤となるコードを包括的に評価する必要がありますが、監査後に発生した変更や更新を評価することはできません。

Companies Mentioned

featured image - Web3、良好な衛生状態、およびエンドツーエンドセキュリティの必要性

スマートコントラクトの監査は、手を洗うのとよく似ています。一度だけ実行し、結果に備える必要があります。

サイバー犯罪による壊滅的な損失の年に対応して、暗号セキュリティをめぐる会話が過熱するにつれて – CertiK の最近のレポートは、「2022 年は記録上 web3 にとって最も費用のかかる年になるだろう」と述べています。いくつかのセキュリティのベストプラクティスを確認することが不可欠です。その中で最も重要なのは、徹底した定期的なスマートコントラクト監査の重要性です。

多くの場合、新しいブロックチェーンプロジェクトは、セキュリティチェックを開始前に片付けるものとして扱い、二度と考えないようにします。この場当たり的な態度は、スマートコントラクトの監査が 1 回しか行われていないプロジェクトで最も明確に見られます。これを行うプロジェクトは、監査は実際のセキュリティよりもマーケティング目的であると考えているようです。投資家もユーザーも、スマートコントラクトの監査を受けていないプロジェクトを避けるべきであることは事実ですが、投資するプロジェクトが積極的でエンドツーエンドのアプローチを取っていることを確認する必要もあります。安全。

「なぜプロジェクトに定期的な監査が必要なのか」と疑問に思われるかもしれません。プロジェクト全体をカバーするべきではないでしょうか?」.これはよくある (そして高価な) 誤解です。優れたスマートコントラクトの監査では、プロジェクトの基になるコードの包括的な評価を提供する必要がありますが、監査が行われた後に発生した変更や更新、特に基になるコードに変更が加えられた場合はいつでも評価できません。

もちろん、更新されない技術プロジェクトはすぐに冗長になります。これは、動きの速い web3 の世界では特に当てはまります。優れた技術投資家やユーザーは、更新と開発を拒否するプロジェクトを避けるべきであることを知っていますが、セキュリティをまったく更新しない (またはほとんど更新しない) プロジェクトに定期的に投資しています。清潔さの比喩に戻ると、これは、1 年間手を洗っていないという人に握手するようなものです。

取るDeus Finance エクスプロイト一例として、攻撃者は 1,600 万米ドル近くの資金を流出させました。 Deus はスマートコントラクトを監査していましたが、攻撃者は洗練されたフラッシュローン攻撃で新しい未監査のスマートコントラクトを標的にすることができました。攻撃を通じて、ハッカーは Deus の DEI トークンの価格を変更し、この予測可能な価格アクションの恩恵を受けることができました。彼らは、トークンの価格を決定するオラクル (データを解釈するコードのノード) によって使用される貸付プールを操作することによって、これを行いました。

さて、コインに値するスマートコントラクトは、取引ペアを使用して価格を決定するオラクルを使用する危険性を警告します。これらは簡単に操作できるためです。しかし、脆弱なスマートコントラクトは最初の監査の範囲外であったため、監査人は問題を強調する機会を与えられませんでした。

Deus は、スマートコントラクト監査をセキュリティフレームワークの継続的な機能として扱い、プロジェクトに重大な変更が加えられるたびに監査を受けなければならないという明確な警告として機能する必要があります。しかし、すべての監査が同じというわけではありません。よく計画されたプロジェクトが、悪い監査の欠陥に悩まされているのを何度も目にします。

最近のものを取るFEG エクスプロイト例として。 FEG (Feed Every Gorilla) 超デフレガバナンスミームトークンは、最近 2 つのフラッシュローン攻撃に見舞われ、2 日間でプロトコルから合計 320 万ドルの資金が流出しました。

各攻撃で、ハッカー (またはハッカー) は FEG のスマートコントラクトの同じ脆弱性を標的にしました。 CertiK によるエクスプロイトの分析により、これはトークンの脆弱性によるものであることが判明しました。 [[Swap-To-Swap機能](https://docs.fegtoken.com/fegex/smartswap#:~:text=Swap%2DTo%2DSwap%20(S2S,found%20in%20the%20next%20section) 、サニテーションなしで信頼できるパーティとしてユーザー入力の「パス」を直接取得します。簡単に言えば、この欠陥により、ハッカーは関数を繰り返し呼び出して、無制限の許可を得て、資産の契約を流出させることができました。

おそらく FEG にとって最も苛立たしいのは、この欠陥がスマートコントラクトの監査によって検出されるべきだったという事実です。 FEG はスマートコントラクトを監査しましたが、監査人は、FEG の信頼できない「パス」パラメーターがプロトコルに渡され、コントラクトの資産の使用が承認されたことに気付くべきでした。適切な監査では、これを重大な重大度としてフラグを立て、それに応じて行動し、編集するようプロジェクトにアドバイスします。

ここで暗号セキュリティ業界が学ばなければならない教訓があります。ハッカーがプロジェクトを悪用する新しい独創的な方法を見つけ続けているため、監査人が新しい攻撃に対応してチェックを更新するだけではもはや十分ではないということです。代わりに、新しい攻撃が発生したときに備えられるように、常にテクノロジを更新する必要があります。

これらのエクスプロイトはどちらも、厳格で定期的なスマートコントラクト監査の必要性だけでなく、web3 セキュリティに対する予防的で一貫したエンドツーエンドのアプローチの必要性も浮き彫りにしています。これは、セキュリティを単に売買するラベルではなく、構築して維持するものと見なす方向へのシフトにつながります。これは、テクノロジーに合わせてプロジェクトのセキュリティを更新する必要があるチームや、攻撃に対応するだけでなく、攻撃を予測する必要がある監査会社にも当てはまります。