ブロックチェーンのアキレス腱: バリデーターがどのようにして 10 億ドル規模の脅威の標的になったのか

研究者らは、あまり研究されていない側面、つまりブロックチェーン ネットワークをサポートするバリデーターとして知られる中央サーバーのセキュリティに焦点を当てて、ブロックチェーン セキュリティの詳細な分析を実施しました。これらのバリデーターは、さまざまなブロックチェーン プロトコルでステーキング サービスを提供する会社 InfStones によって提供されました。

研究者らは、これらのバリデーターのセキュリティを侵害できる一連の脆弱性を発見しました。研究チームは、ブロックチェーンバリデーターを従来のサーバーとして扱い、古典的なハッキング技術を掘り下げるという独特のアプローチを採用しました。

発見された脆弱性により、これらのバリデーターの制御が許可されただけでなく、コードの実行や秘密鍵の抽出も可能になり、ETH、BNB、SUI、APTなどのさまざまな暗号通貨で10億ドルを超える損失が発生する可能性がありました。

彼らは、堅牢なセキュリティで知られるSuiブロックチェーンネットワークを使用して調査を開始しました。彼らは、Sui Explorer の API 呼び出しを使用して、アクティブなバリデータと IP アドレスのリストを取得しました。さらに調査を進めると、InfStones が管理する特定のサーバーにたどり着き、興味をそそられました。

標的のサーバーには、ログ ファイルを読み取るために設計されたオープンソースの Tailon ツールを実行するオープン ポート (55555/tcp) がありました。研究者らは、Tailon の脆弱性を悪用して、Sui バリデーターでリモート コード実行 (RCE) を取得しました。

Tailon は root ユーザーとして実行し、研究者に重要な権限を与えました。

彼らはこの最初のエントリ ポイントを悪用し、同様の設定を使用して他の InfStones サーバーに攻撃を拡張しました。 Censys の検索により、同じ Tailon サービスを使用する 80 近くのサーバーが特定されました。ただし、一部のサーバーではアクセスに基本認証が必要でした。

これを克服するために、研究者らは InfStones プラットフォーム上にアカウントを作成し、調査の結果、Tailon に接続するプロキシとして機能する API を発見しました。サーバーを設定し、プロキシを使用することで、基本認証を必要とするサーバーでの認証を可能にする資格情報を取得しました。

約 80 ノードの制御を獲得した研究者らは、2023 年 7 月に InfStones に対する最初の脆弱性を報告しました。調査中にすべてのサーバーで AWS 認証情報ファイルを発見しました。これは、InfStones が S3 バケットからブロックチェーン ネットワーク バイナリをダウンロードしたことを示しています。

侵害された資格情報にはバケットへの読み取りアクセスと書き込みアクセスがあり、バイナリの操作が可能でした。

さらに調査を進めると、「infd」という名前のポート 12345 で実行されているサービスが発見されました。研究者らは、このサービスが「アップグレード」ルートでのコマンド インジェクションの脆弱性を悪用することにより、root ユーザーとして実行されていることを特定しました。ただし、JWT 認証には課題がありました。

研究者らは、JWT 認証をバイパスしてコマンド インジェクションの脆弱性を悪用できる特定の CloudProvider 設定を持つサーバーを発見しました。このサーバーは、約 1 億 5,000 万ドルを賭けた InfStones Aptos バリデーターとして特定されました。

これらの脆弱性の影響は多大でした。これらの欠陥を悪用した攻撃者は、さまざまなブロックチェーン ネットワーク全体でバリデーターの秘密鍵を取得し、バリデーターの切断、ステーキング資金の引き出し、またはステーキング報酬の盗難につながる可能性があります。影響を受けたバリデーターは、イーサリアム ネットワークの重要な部分と、この分野の主要な運営者である Lido を代表していました。

研究者らは責任を持って調査結果を InfStones に開示し、脆弱性の潜在的な影響を伝えました。 InfStones は問題を修復したと主張し、研究者らは修復作業と鍵のローテーションに時間を割くために一般公開を遅らせることに同意しました。

Lido DAO は報告された脆弱性を認めており、特定された問題に対処するために InfoStones と積極的に協力しています。特に、InfoStones のインフラストラクチャ内のイーサリアム ノードに関連する問題を修正することに重点が置かれています。

イーサリアム関連の懸念への対処は進展しているものの、dWalletの包括的なレポートで言及されているLidoのバリデーターやその他のネットワークへの影響の範囲については不確実性が残っている。この共同作業は、脆弱性から生じる潜在的な影響を徹底的に調査し、軽減することを目的としています。

この調査は、ブロックチェーンネットワークバリデーターのセキュリティに関する説明責任と責任のギャップを浮き彫りにしました。コードの品質とスマート コントラクトのセキュリティにはかなりのリソースが投資されていますが、バリデーターのセキュリティは報奨金プログラムの範囲外とみなされることが多く、攻撃者にとって潜在的な侵入ポイントとなります。

研究者らは、ブロックチェーンネットワークの重要なコンポーネントであるバリデーターのセキュリティにさらに重点を置く必要があると強調した。

楽しみにしている

ユーザーは、ブロックチェーン ネットワークおよびテクノロジーへの関与のセキュリティを強化するために、いくつかの実行可能な手順を実行できます。何よりもまず、進化し続けるブロックチェーン ネットワークのセキュリティ状況について常に最新の情報を入手することが重要です。

信頼できる情報源、セキュリティ研究者、組織に従って洞察と最新情報を定期的に共有することは、個人や組織が潜在的なリスクや脆弱性を回避するのに役立ちます。

ブロックチェーン ネットワーク上でノードのステーキングや運用に携わっている場合、バリデーター サービスを多様化することが賢明な戦略です。単一のサービスプロバイダーに依存すると、脆弱性や攻撃のリスクが高まります。

さらに、インフラストラクチャの定期的なセキュリティ監査も不可欠です。これらの監査は、コードとスマート コントラクトの評価を超えて、ネットワークをサポートするバリデーターのセキュリティにまで及ぶ必要があります。

多要素認証 (MFA) の実装も重要な対策です。ブロックチェーン操作に関連するすべてのアカウントとサービスで MFA を有効にすると、セキュリティ層が追加され、不正アクセスのリスクが軽減されます。

ブロックチェーンインフラストラクチャを管理する担当者に対するセキュリティ意識のトレーニングも同様に重要です。これにより、個人は潜在的な脅威、一般的な攻撃ベクトル、およびセキュリティのベストプラクティスについて十分な情報を得ることができます。

ブロックチェーン ネットワークまたはサービスの脆弱性を発見した場合は、責任ある開示慣行に従うことをお勧めします。影響を受ける当事者に速やかに通知し、一般公開前に協力して問題に対処することで、潜在的な損害を最小限に抑えることができます。

さらに、ブロックチェーンの運用で使用されるクラウド サービスの構成を定期的に確認および監査することが重要です。これには、サービスの保護、不要な開いているポートの閉鎖、アクセス制御の適切な構成が含まれます。

ブロックチェーンネットワークのセキュリティにおけるバリデーターの重要な役割を認識することが不可欠です。ブロックチェーン プロジェクトや組織がセキュリティ プログラムやバグ報奨金の取り組みの一部としてバリデーター セキュリティを組み込むことを奨励すると、より安全なエコシステムに大きく貢献できます。

バリデーターノードでの異常なアクティビティや不正アクセスを継続的に監視することも推奨されます。不審な動作を早期に検出することで、セキュリティ インシデントの影響を防止または最小限に抑えることができます。

最後に、ブロックチェーン空間における包括的なセキュリティ プログラムを提唱する取り組みを支援し、報奨金プログラムにバリデータ セキュリティを含めることは、潜在的な脆弱性に効果的に対処することに貢献します。