分散型金融(DeFi)およびブロックチェーン・プロジェクトの数は、昨年中に大量に増加しましたが、その人気の高まりは、サイバー攻撃者の興味をも刺激しました。彼らは2021年に少なくとも推定18億ドルを盗むことに成功したのです。
ブロックチェーンは、改ざんや変更が困難な方法で取引を記録するデジタル台帳です。そのため、これらの技術は、暗号通貨資産や取引の管理、スマートコントラクト、金融、法的契約の円滑化などに多大な可能性を持っています。
近年、ブロックチェーンの普及により、分散型金融が登場しています。DeFi金融商品・システムは、従来の銀行や金融サービスに代わるもので、分散型技術やスマートコントラクトに依存して運用されています。
DeFi、NFT、暗号通貨は、脆弱性、ロジックエラー、プログラミングの欠陥を利用し、フィッシングキャンペーンを行い、被害者からデジタル資金を盗み出す脅威のターゲットとして人気があります。
2022年5月、マイクロソフトは、マルウェア、インフォステア、クリプトジャッカー、ランサムウェアなど、デジタル脅威の標準辞書に「クライウェア」という用語を導入しました。この新しい用語は、非保護通貨ウォレット(別名「ホットウォレット」)から情報を収穫し、盗むように設計されたマルウェアを説明しています。
ブロックチェーンは、デジタルウォレットが必要とする送金、入金、出金のインフラを容易にする一方で、ホットウォレットはデバイスのローカルに保存されるため、盗難の恐れがあります。
先日、Bishop Foxのサイバーセキュリティ研究者は、2021年に発生した重要なブロックチェーンとDeFiの強盗の分析結果を発表しまし、18億ドルの損失が発生したと分析しています。
チームが調査した主な「イベント」は65件で、そのうち90%は「古典的な攻撃」であったと考えられます。
2021年の主な攻撃ベクトルは以下の通りです。
- 51%:スマートコントラクトの脆弱性
- 18%:プロトコルや設計の欠陥
- 10:ウォレットの侵害
- 6:ラグ・プル、出口詐欺
- 4:キーリーク
- 4%:フロントエンドのハッキング
- 3%:アービトラージ
- 2%:暗号通貨関連のバグ
- 2%:フロントラン(将来の取引所に関する知識でキューに入れた取引)
"ほとんどの場合、攻撃はスマートコントラクトの脆弱性、またはプロトコルのロジックそのものに起因していることがわかります。"と研究者は指摘しています。"これは、セキュリティ対策の実施について一定の技術的な後知恵を欠いている可能性のある最近の技術としては驚くべきことではありません。"
スマートコントラクトで悪用される脆弱性の種類に関して言えば、脅威者が悪用する最も一般的な問題は、よく知られたバグ、フォークに含まれる脆弱性、および巧妙な攻撃です。また、ラグ・プルや終了詐欺も、程度の差こそあれ記録されています。
しかし、これらの攻撃の多くは、リリース前にしっかりとした監査とテストを行うことで回避することができます。フォークを使用している開発者も、DeFiプロジェクトのソースコードに影響を与えるセキュリティ問題がないか、コードベースを定期的にチェックする必要があります。
"我々は躊躇なく、DeFiは現在、大きく早い利益を求める泥棒を引き付けるおいしいターゲットであると言うことができます "とBishop Foxは言う。この技術の歴史が浅いことと、お金に関わることであることを考えれば、この観察は明らかです。
一度も問題にぶつかったことのない技術的な進歩や開発は珍しい。最初のコンピュータがウイルスが蔓延する可能性をあまり考えずにネットワーク化されたように、DeFiの開発者は保護よりもアルゴリズムの革新性を求める傾向があります。