paint-brush
侵害された秘密鍵: 主な標的と今後の解決策@hackless
13,874 測定値
13,874 測定値

侵害された秘密鍵: 主な標的と今後の解決策

Hackless5m2023/02/15
Read on Terminal Reader

長すぎる; 読むには

危険にさらされた秘密鍵は、DeFi のすべてのレベルで重大な損失を引き起こす可能性があります。これは誰にでも起こる可能性があるため、DeFi を使用する人は誰でも、問題の規模と利用可能な解決策を認識する必要があります。 Hackless では、Wallet Rescue と呼ばれる製品を設計しています。これは、仮想通貨ウォレットがハッキングされたときに役立つソリューションです。
featured image - 侵害された秘密鍵: 主な標的と今後の解決策
Hackless HackerNoon profile picture

危険にさらされた秘密鍵は、DeFi のすべてのレベルで、クジラ、開発者、一般ユーザーなど、あらゆる種類の利用者に重大な損失をもたらす可能性があります。 Defi に関わる人なら誰でもこの問題に対処できます。そのため、組織も個人の利用者も同様に、問題の規模と利用可能な解決策を認識する必要があります。

Hacklessでは、Wallet Rescue と呼ばれる製品を設計しています。これは、仮想通貨ウォレットがハッキングされ、資金を新しく作成されたアドレスに安全に移行する必要がある場合に役立つソリューションです。

このソリューションが必要な理由と、そのメリットを享受できるのは誰ですか?

クリプト ウォレットに関連して発生した最近のハッキングを詳しく調べたところ、主な原因は常に、プラットフォームのホット ウォレット、管理者のキー、または個々のユーザーのキーの秘密キーの侵害であることがわかりました。このタイプのエクスプロイトと、Hackless の今後の Wallet Rescue がどのように役立つかについて詳しく説明します。まず、いくつかの警告の話を見てみましょう。

侵害された秘密鍵を介してハッキングされた DeFi プロジェクト

1. Ronin ネットワーク、6 億 2,400 万ドル

暗号史上最大のハッキングの 1 つである Ronin エクスプロイトでは、9 つのバリデータのうち 5 つのキーが侵害されました。これは、顧客が正当な出金を試みたときに発見されました。チームが発表したように、攻撃者はトランザクションの認証に必要な秘密鍵の所有権を取得しました。悪意のある攻撃者は、173,600 ETH と 2,550 万 USDC をウォレットに盗むことに成功しました。

2. ハーモニーブリッジ、1億ドル

ハーモニー ブリッジは、マルチシグの秘密鍵が侵害され、1 億ドルが流出しました。ブリッジは、トランザクションを承認するために 2 つの検証アカウントのみを必要としました。ハッカーはなんとか秘密鍵を侵害し、彼らの口座への資金の送金を承認することができました。

3.レイジウム、440万ドル

この DEX は仮想通貨で 440 万ドルを失い、管理者による流動性プール全体の引き出しを可能にするスマート コントラクトの脆弱性を悪用した攻撃者の犠牲になりました。攻撃者は管理プールの秘密鍵を制御し、LP トークンを持たずに LP プールを空にしました。チームは、この秘密鍵がどのようにして正確に取得されたかはわかりませんが、鍵を保持する仮想マシンがトロイの木馬プログラムに感染したと推測しています。

ユーザーの秘密鍵が公開されたDeFiプロジェクト

1.ウィンターミュート、1億6000万ドル

マーケット メーカーの Wintermute は、Profanity で作成されたバニティ アドレスを介してホット ウォレットが侵害され、1 億 6,000 万ドルを永久に失いました。 Wintermute のホット ウォレットと DeFi ボールト コントラクトの両方に、冒とく的なバニティ アドレスが含まれているようです。ホット ウォレットの秘密鍵が悪用され、ボールトを空にするために使用された可能性があります。冒とく的な表現で生成されたアドレスのセキュリティ上の欠陥は、しばらくの間コミュニティに知られていましたが、これは真剣に受け止められていなかったようです.

2. スロープウォレット、600万ドル

Solana ベースのモバイル ウォレットである Slope の大規模なハッキングは、8,000 を超えるユニークなウォレットに影響を与え、600 万ドルの資金が失われました。結局のところ、ユーザーの秘密鍵情報が誤って Slope アプリケーション監視サービスに送信され、公開されました。

クジラとブロックチェーン開発者は無敵ではありません

DeFiプロトコルとプロジェクト管理者がハッカーの主な被害者ですが、クジラのような知名度の高い暗号ユーザーやブロックチェーン開発者も標的です.なぜそうではないのですか?以下に概説するケースのように、報奨金が一括で支払われる場合もあります。

1.ビットコイン開発者、360万ドル

ビットコインの開発者でさえ、キーを安全に保つのに苦労することがあります.初期のビットコイン開発者である Luke Dashjr に起こったことです。彼は、キー ハッキングにより、BTC で 360 万ドルを失いました。 Dashjr は、彼の PGP キーが侵害され、それがどのように起こったのかまったくわからないとツイートしました。

2. GMXクジラ、350万ドル

ハッカーは、有名なトークン所有者が所有する 82,519 の GMX トークンを制御しました。さらに調査した結果、影響を受けたのは 1 つのアカウントのみであることが判明したため、盗難の原因は秘密鍵の侵害である可能性が高くなりました。

 If DeFi teams and advanced crypto investors cannot secure their assets, does the general public have any hope?

通常の DeFi ユーザーは常にハッカーのレーダーに映っています

ハッカーは通常、より大きなウォレットを攻撃する傾向がありますが、個人も標的になります。ハッカーが個々のユーザーのウォレットを侵害するために考案したアプローチと戦術を見てみましょう。

  • 悪意のあるエアドロップ– ユーザーは、エアドロップ経由で特定のコインがウォレットに追加されたという電子メール、テキスト、またはソーシャル メディア メッセージを受け取ります。次に、ウォレット アドレスを攻撃者の Web サイトに接続するよう求められます。接続すると、すべての資金が流出します。
  • シード フレーズ フィッシング– ユーザーは、アカウントの停止を迫られ、アカウントの確認または回復プロセスの一環としてシード フレーズを提供するよう求められることがよくあります。
  • アイス フィッシング- このタイプのクリックジャッキング スキームは、ユーザーをだまして、ユーザーのコインの承認を悪意のある人物に委任させます。多くの場合、攻撃者は悪意のあるスクリプトを挿入してスマート コントラクトの UI を変更します。
  • 悪意のある電子メール、Web サイト、およびメッセージ– 複製された Web サイト、ソーシャル メディア アカウント、および詐欺的な電子メールが毎日出現し、フェイク ニュースを広めてユーザーをだまし、詐欺的なプロモーションやキャンペーンを通じてユーザーを誤解させています。

暗号ウォレットを救出する必要がある場合はどうなりますか?

DeFi プロトコルまたは個々のウォレットがハッキングされている場合、攻撃者はそれを注意深く監視しています。これは、あなたがウォレットで行う可能性のあるすべてのアクティビティを彼らが見ることを意味します。また、彼らが発見されたことを理解している場合は、テクノロジーを調整して攻撃をさらに効果的にすることができます.

しかし、このウォレットに接続されたステークスまたはベスティング コインがあり、それらを転送したい場合はどうすればよいでしょうか?その後、Hackless による Wallet Rescue が登場します。以前はConductorとして知られていた Wallet Rescue は、一部のクライアントにとって効果的であることがすでに証明されており、仮想通貨で約 70 万ドルを節約するのに役立ちました

Wallet Rescue を使用すると、ハッカーには見えない方法で、ハッキングされたウォレットから資産を安全に移行できます。これは、次の手順でプライベート マイニング機能を介して行うことができます。

  1. プライベート マイニング用のトランザクションのバンドルを作成します。
  2. これらのトランザクションをシミュレートして、すべてがスムーズに進むことを確認してください。
  3. 以前に作成され、シミュレートされ、署名されたトランザクションのバンドルを、信頼できるプロバイダーを介してマイナーに直接非公開で送信します。

 First and foremost – Hackless does not have any access to assets of the protocol's users or their private keys.

Wallet Rescue は、仮想通貨投資家が自分で使用できる便利で直感的なツールです。アプリは、ユーザーとプロトコル所有者から署名されたトランザクションのみを受け取り、それらをプライベート マイニングに送信して、1 つのブロック内でトランザクションが確実に実行されるようにします。しかし、所有権はすべてあなたのものです。

Wallet Rescue が間もなくベータ版で利用可能に

私たちのチームは、ウォレット レスキュー ウェブ アプリケーションを完成させようとしています。これは、早期ベータ テスターが間もなく利用できるようになります。そして、あなたもその一人になることができます。 ベータ版のユーザー フォームに記入していただくだけで、製品が公開され次第ご連絡いたします。