ラベル WEB3 の投稿を表示しています。 すべての投稿を表示
ラベル WEB3 の投稿を表示しています。 すべての投稿を表示

Web3の世界におけるセキュリティリスク軽減の方法 / 7 best practices for Web3 security risk mitigation


Web3は急成長している技術ですが、その一方で熱い議論が交わされています。Web3の支持者は、ビッグテックの中央集権的なコントロールを広く否定し、分散化のためのビジョン、具体的には、ブロックチェーン・ベースのアーキテクチャを使用してパワーを分散し、エンドユーザーに大きなコントロール、利害、経済的利益を与えるインターネットを中心にまとまりを見せています。

技術開発者と企業は、Web3 の可能性を評価する際に、セキュリティに対する積極的なアプローチを取る必要があります。ブロックチェーンと暗号通貨は、ソーシャルエンジニアリング、インサイダー攻撃、欠陥のある実装といった従来の問題から、分散型アプリケーション、取引所、ウォレットにおけるWeb3ネイティブの悪用といった新しいクラスまで、セキュリティに関する懸念が高まっています。

ブロックチェーン領域における攻撃は、しばしば従来のアプリケーションよりも被害が大きくなります。これらの事象は不可逆的であり、スマートコントラクトを条件とするため、悪用された場合、単一のノードではなくネットワーク全体に連鎖します。

セキュリティリーダーは、Web3セキュリティのベストプラクティスを参考に、リスクを軽減することができます。

伝統的なセキュリティ設計の原則は、Web3システムにも他のシステムと同様に不可欠です。開発者は、セキュリティを意識した基準を設計し、製品、およびインフラストラクチャに組み込む必要があります。例えば、攻撃対象領域を最小化し、ゼロトラストフレームワークを考慮し、権限を分離して最小化するよう努力する必要があります。

セキュリティ・バイ・デザインの原則が第一ですが、組織はどのような種類のブロックチェーンを使用する予定なのかも検討する必要があります。

イーサリアムやソラナなどのパブリックブロックチェーンネットワークはオープンであり、誰でも参加することができます。また、ユーザーは用途に応じてさまざまな匿名性を享受することができます。これに対し、プライベート(許可制)のブロックチェーン・ネットワークは、ユーザーが自分の身元だけでなく、メンバーシップやアクセス権限も確認する必要があります。

パブリック、プライベートに関わらず、ブロックチェーンの種類によって複雑さが異なるため、1つのブロックチェーンを理解しても、すべてのブロックチェーンを理解したことにはなりません。サイドチェーン、マルチチェーン、クロスチェーン、フェデレーション、オラクル、その他の分散型台帳コンポーネントなど、さまざまなハイブリッドインフラは、スピード、効率、回復力など、セキュリティチームと接点を持つ他の基準にも影響を及ぼします。

Web3 の「西部開拓時代」には、テクノロジーだけでなく、デザイナーが考慮しなければならない法律的、文化的、経済的な力学が含まれています。たとえば、アイデンティティに関しては、特定の設定や統合が、Know Your Customer や GDPR などの既存のコンプライアンス体制に抵触する可能性があります。

ID 以外にも、暗号技術に関する規制は管轄地域によって異なります。さらに、多くのWeb3エンティティは、プロジェクトや分散型自律組織です。

また、ソーシャルエンジニアリングのセキュリティへの影響も考慮してください。Discordのコミュニティは、デジタル資産の利点をどのように誤解し、誇張するでしょうか。暗号プラットフォームの暗号化された金融化は、悪質な行為者にどのようなインセンティブを与えるのでしょうか。

サイバーリスク管理プログラムは、新たな脅威に対する理解を深め、緩和するために、業界の同業者と協力することで利益を得ることができます。Web3 の文脈では、GitHub や OODA Loop が最近リリースした Cryptocurrency Incident Database のようなオープンソースプラットフォームなど、従来のリソースに類似したチャネルがあります。OODA Loop は、Web3 プロジェクトの間でサイバーセキュリティ事件が多発していることに着目し、セキュリティ研究者やエンジニアが共通のサイバー攻撃カテゴリや根本原因を確認できるように、このデータベースを構築しました。また、ビルダーは、自社のプラットフォームで開発者向けのセキュリティガイダンスを公開する必要があります。Web3 の開発は比較的公開されているため、Reddit、Discord、Twitter などで調査を行うことも可能です。

組織は、開発プロセスの前と全体を通して、リスクをモデル化し、分析し、軽減する必要があります。ブロックチェーン開発者とセキュリティ専門家は、事前に以下のような質問をする必要があります。

  • コードの中で最も影響が大きいのはどの部分か?
  • インシデント対応プロトコルはどのように影響されますか?
  • 脆弱性はどのように報告されるのか?
  • リスクを高めるために、ユーザはどのようにサポートされるのか?
  • ユーザーの権限はどのように管理され、ウォレットやチェーンなどの相互運用性はどのように説明されるべきか?
  • 組織はコミュニティ参加型のガバナンスに対応していますか?
  • 違反が発生した場合、大規模な変更やチェーンの分岐はどのように処理されますか?

このような質問は、インシデントが発生したときよりも、むしろ先手を打って対処したほうがよいでしょう。その答えは、組織のサイバーセキュリティガバナンスプログラムに沿ったものであるべきです。

情報の品質やデータ操作のリスクを評価することは、オンチェーンかオフチェーンか、また、取引や所有権を確認するために必要な情報は何か、といった判断と関連付ける必要があります。

フィッシングなどの一般的な脅威には、テクノロジーのアーキテクチャと UX ワークフローの両方で対応する。例えば、セキュリティチームは、悪意のあるリンク検出ソフトウェアをブラウザにインストールするようユーザーに促し、多要素認証を要求し、オープンなWi-Fiネットワークを回避し、システムの更新を行うよう定期的にリマインダーを送信する必要があります。

また、プルーフ・オブ・ワーク型合意形成アルゴリズムの回避、マイニングプールの監視、他のノードの不審な行動の分析により、51%攻撃やシビル攻撃といったブロックチェーンアーキテクチャに特有のリスクを回避する必要があります。ブロックチェーンのキーとウォレットに関連する新しいユーザーの責任を考えると、セキュリティはユーザーのオンボーディング、コミュニケーション、およびエクスペリエンス・デザインに含まれる必要があります。

Web3 の開発ペースは速いですが、構築者は新しいコードやコミットを開始する前と後に、プロジェクトを評価し、テストする必要があります。これを怠ると、一般的なエクスプロイト、インサイダー攻撃のベクトル、ユーザーのプライバシー保護、その他のミスを見落としてしまい、違反や巨額の損失につながる可能性があります。

特に新興の開発企業は、従来の企業のようなセキュリティガバナンスがない可能性があるため、組織は定期的な監査も実施する必要があります。

その中には、開発の各段階で監査レベルのチェックを行う技術を開発したDeepReasonも含まれています。

セキュリティ・リーダーは、この新しいクラスのテクノロジーを取り入れるべきです。従来のセキュリティ手法も多く適用されますが、分散型台帳、暗号資産、ウォレット、およびデジタル通信の広範な金融化によって、セキュリティにはいくつかの明確な意味が生まれます。Web3 は企業とは無関係に思えるかもしれませんが、その根底にある技術は、企業とその顧客にとって大きな破壊的可能性を持っています。

出典:7 best practices for Web3 security risk mitigation

ブロックチェーンを可視化したサイト[txstreet.com] / This is one of the best blockchain visualizers


ビットコインは、誕生から10年以上経った今でも、その基本的な技術を理解するのが難しい場合があります。ビットコインの取引をバスの乗客に見立てて可視化した新しいウェブサイトは、暗号通貨の仕組みについて驚くほど説得力のある洞察を提供し、その動きを見ていると不思議なほど心を奪われます。

TxStreet.comは、BitcoinとBitcoin Cashのネットワークからのリアルタイムの取引データを、一連のバスに乗り込む乗客のSouth Park風の漫画に変換したものである。このサイトは、Bitcoin CashがBitcoinから「フォーク」して以来、支持者が対立している2つのネットワークの対比を示すことも意図している。しかし、このサイトからは、暗号通貨の基本的な知識やネットワークの日々の現実について多くを学ぶことができるので、この争いに加わる必要はない。

TxStreetの各漫画のキャラクターは、あるアカウントから別のアカウントに移動する暗号通貨決済を表しています。キャラクターの大きさは送金額に相当し、歩く速度は送金者がシステム手数料を支払って確認を迅速化しているかどうかを反映しています。キャラクターは、ビットコイン用とビットコインキャッシュ用の2つの駅に停車しているバスに向かって移動する。バスは取引の「ブロック」を表しており、基本的にすべてのブロックチェーンシステムが多かれ少なかれ一定の間隔で収集、集計、確認する記録の集合体である。TxStreetバスとその乗客は、取引のブロックがネットワークによって確認され、それぞれのブロックチェーン(各通貨の取引履歴の不変の記録)に追加されるたびに出発する。これは、不可解に見えるシステムのシンプルなメタファーであり、群衆の波と流れには、癒しとサスペンスが同時に存在します。

LacosteのDiscordがハッキングされる / Lacoste Discord among the latest to be hacked


ポロシャツにNFTが搭載されたらしい。

ファッションブランドLacosteのNFTプロジェクトは、「Undw3」というタイトルで、どうやら「アンダーウォーター」と発音するようです。

そのNFTプロジェクトのDiscordは、最近ハッキングされたものの一つです。

最近のDiscordハッキング事例と同様に、このハッキングはモデレーターのアカウントを侵害することによって達成されました。このアカウントは、偽の造幣局リンクを投稿するために使用され、取引承認に署名したユーザーは、自分の資産が攻撃者に転送されます。



2022年6月から、少なくとも15以上のプロジェクトが同じ被害に遭っています:Clyde, Good Skellas, Duppies, Oak Paradise, Tasties, Yuko Clan, Mono Apes, ApeX Club, Anata, GREED, CITADEL, DegenIslands, Sphynx Underground Society, FUD Bois, Uncanny Club。

Inverse Financeがハッキングされ、120万ドル以上盗まれる / Hacker steals over $1.2 million from Inverse Finance, their second such exploit in under three months


イーサリアムベースの分散型金融(DeFi)ツールInverse Financeが2022年6月16日の朝、120万ドル以上悪用されたことが、明らかになった。

ハッカーはフラッシュローン攻撃を使ってプロトコルを騙し、110万ドル相当の53ビットコイン以上と、米ドルを1対1で裏付けするテザー(USDT)1万USTDを盗んだようだ。この悪用は、既報の通り、攻撃者が同様の攻撃でInverse Financeから1500万ドル相当の暗号通貨を盗んでから2カ月余りで行われたものです。

6/16に、Inverse Financeの開発者はユーザーに対する借入機能を一時停止し、事件を調査していると述べた。

フラッシュローンはDeFi特有の仕組みで、同じ取引内で返済する限り、ユーザーは少ない担保で高額な資金を借りることができる。一般的にはトレーダーが使用しますが、悪質な業者はフラッシュローンを使ってプロトコルのスマートコントラクトを騙し、流動性プールの価格を操作してそのプールの資産を乗っ取ることもあります。

ブロックチェーンのデータによると、攻撃者は攻撃を行うために、レンディングプロトコルAaveから約27,000ラップビットコインをフラッシュローンしていたようです。この資金は、スワップサービスCurveを通じて様々な安定コインに回された後、Inverse Financeのプールから安定コインであるDOLAを取り除くために使われたようです。

ブロックチェーン分析ツールEtherscanで「Inverse Finance Exploiter」とタグ付けされたアドレスが、悪用後にプライバシーミキサーのTornado Cashに900イーサー(100万ドル相当)を送ったらしいことが、データから判明した。

Tornado Cashは、ユーザーがアドレスをマスクすることができ、攻撃者が盗んだ資金を隠すために採用されることもある。

ハッカーがバックドア入りのCoinbaseニセウォレットと、MetaMaskニセウォレットを複製し、暗号通貨を盗む / Hackers clone Coinbase, MetaMask mobile wallets to steal your crypto


セキュリティ研究者は、Coinbase、MetaMask、TokenPocket、およびimTokenサービスのトロイの木馬化したモバイル暗号通貨ウォレットアプリケーションを使用する大規模な悪意のある操作を発見しました。

この悪意ある活動は、2022年3月の早い時期に確認されています。研究者は、この活動をSeaFlowerと名付け、"悪名高いLazarus Groupに次いで、Web3ユーザーを標的とする最も技術的に洗練された脅威 "と表現しています。

最近のレポートの中で、悪意のある暗号通貨アプリは本物のアプリと同じですが、デジタル資産にアクセスするためのユーザーのセキュリティフレーズを盗むことができるバックドアが付属していることを指摘しています。

SeaFlowerの活動の背後にある脅威のアクターは、ソースコード内のコメントの言語、インフラの場所、使用されるフレームワークやサービスなどのヒントから、中国と思われます。

アプリの配布

SeaFlowerの操作の最初のステップは、トロイの木馬化したアプリをできるだけ多くのユーザに広めることです。脅威者は、正規のウェブサイトのクローン、SEOポイズニング、およびブラックSEOの手法によってこれを実現します。

また、ソーシャルメディアチャンネル、フォーラム、マルバタイジングなどでアプリケーションが宣伝されている可能性もありますが、主な流通経路は検索サービスです。

研究者は、Baiduエンジンの検索結果がSeaFlowerの操作によって最も影響を受け、大量のトラフィックを悪意のあるサイトに誘導していることを発見しています。

iOSの場合、サイトはプロビジョニングプロファイルを悪用して、デバイスに悪意のあるアプリケーションをサイドロードし、セキュリティ保護を迂回させます。

プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用されます。プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用され、デバイスをアプリケーションコードのテストに使用することができるため、デバイスに不正なアプリケーションを追加するための強力な方法となります。

バックドア付きアプリ

研究者は、SeaFlowerの作者がどのようにバックドアを仕込んだかを調べるため、アプリをリバースエンジニアリングしたところ、すべてのアプリに類似したコードがあることを発見しました。


iOSのMetaMaskアプリの場合、バックドアコードは、シードフレーズの生成時、および暗号化された形で保存される前に起動されます。つまり、脅威者は、新しいウォレットを作成するとき、または新しくインストールされたアプリに既存のウォレットを追加するときに、パスフレーズを傍受することになります。

バックドアコード内で特定された関数の1つである「startupload」は、シードフレーズを盗み出し、正規ベンダーのものを模倣したドメインに送信する役割を担っています。

例えば、この脅威者は、POSTリクエストを使用して、本物の「infura.io」を装う「trx.lnfura[.]org」にパスフレーズを流出させました。同様に、MetaMaskのオリジナルドメインを模倣した'metanask[.]cc'も使用されました。


関数を隠しているクラスは、base64エンコードアルゴリズムを使用して難読化され、RSA暗号システムで暗号化されています。しかし、鍵はハードコードされているため、解析者はバックドアを解読し、コードをテストし、実行時に検証することができます。


バックドアコードは、Android亜種の悪意あるアプリにそれほど熱心に隠されておらず、研究者はそれほど苦労せずに、より多くの機能にアクセスすることができました。

今回発見されたバックドアで特に興味深いのは、React Native BundleをRCTBridgeのインスタンスに直接注入してJavaScriptを読み込ませている点です。

信頼できる情報源

これらの卑劣な脅威から保護するために、暗号通貨ユーザーは、公式アプリストアや開発者のWebサイトなど、信頼できるソースからのみウォレットアプリケーションをダウンロードする必要があります。

iOSユーザーの場合、iOSやmacOSシステムにあらゆるアプリをインストールすることができるため、リクエストの正当性を確認せずにプロビジョニングプロファイルをインストールしたり受け入れたりすること。

NFTプラットフォームの「Known Origin」のDiscordが乗っ取られ、DiscordユーザーのNFTが盗まれる / Known Origin is the latest project to have their Discord compromised


有名なNFTプラットフォームの一つであるKnown OriginのDiscordサーバーが侵害されました。詐欺師はKnown Originの運営を騙って偽の無料NFTミントを宣伝し、ユーザーがウォレットに接続した際に、ユーザーのNFTを盗んでしまうというものでした。

これは、Discordの一連の侵害の中で最新のものです。最近ハッキングされた他のサーバーには、Curiosities、Meta Hunters、Parallel、Goat Society、RFTP、およびGooniezがあります。

レンディング大手セルシウス(Celsius)、資金引き出しの一時停止を発表 / Celsius pauses all withdrawals, claims it's due to "extreme market conditions"


セルシウス(Celsius)のプラットフォームは、「極端な市場環境」のため、すべての出金、スワップ、送金を一時停止すると発表した。

最近、セルシウスの資産と償還能力について多くの懸念があり、プラットフォームがコけてデフォルトに追い込まれるのではないかという憶測もある。セルシウスは2022年6月7日に「Damn the Torpedoes, Full Speed Ahead」と題したブログ記事を発表し、「声優」による「誤った情報と混乱の拡散」を非難し、「セルシウスは遅延なく引き出しを処理し続け」、「セルシウスには義務を果たすための準備金(と十分すぎるETH)がある」と約束しました。

セルシオの6月12日の発表では、「流動性と運用を安定させながら、資産を保全・保護するための手段を講じる」ことを期待するというだけで、計画の内容についての詳細は含まれていない。

Osmosis、出金時に3倍の金額を受け取ることができるバグで500万ドルの損失が発生して停止。 / Osmosis chain halted after bug leads to $5 million loss


Osmosisのプールにお金を預けると、出金時に3倍の金額を受け取ることができるというバグがユーザーに発見され、2022年6月8日にOsmosisチェーンが停止されました。

このバグはRedditの公開投稿で初めて報告され、あるユーザーが「Bug on Osmosis オスモーシスに深刻な問題がある。プールに流動性を追加してから削除すると、50%も増えてしまうのです! どうしたら直るんだ!!?朝までにプールが空になる!」と報告しました。

開発者は、流動性プールが完全に枯渇する前にチェーンを停止させたが、約500万ドルの損失が発生したと推定している。彼らは回復計画に取り組んでいると書いている。おそらく彼らはまた、Redditの公開投稿ではなく、個人的にバグを報告するようコミュニティに促すだろう。

出典:Osmosis chain halted after bug leads to $5 million loss


暗号通貨取引所のApolloXが脆弱性をつかれて150万ドル盗まれる / ApolloX exchange exploited for $1.5 million


ApolloX取引所では、攻撃者が約4000万ドルのAPXを引き出し、約150万ドルに交換することができるというエクスプロイトが発生しました。これにより、$APXの価格も50%以上下落した。

同取引所は価格を上げるためにAPXを買い戻すことを発表しており、これまでに60万ドルを費やしている。

出典:ApolloX exchange exploited for $1.5 million

NBA選手が立ち上げた「Players Only NFT」プロジェクトは詐欺(rug pull)か? / Players Only NFT project, founded by NBA players, rug pulls for $1.4 million


Crypto-sleuthのzachxbtは2022年6月8日、Michael Carter-WilliamsやJerami GrantなどのNBA選手のグループが作ったNFTプロジェクト、「Players Only NFT」が詐欺(rug pull)に見えると報告した。

選手たちは、そのスター性を利用して、このプロジェクトと、ボブルヘッド風の様々なスポーツ選手のやや不穏なNFTへの関心を集めました。このプロジェクトは、サイン入りグッズ、選手との現実とメタバースでの出会い、その他の景品を宣伝するロードマップで、設立したアスリートたちの密接な関与を約束しました。

プロジェクトチームは「保有者全員が何かを獲得できる」と約束したものの、選手はイベントに現れず、Zoom meetupは再三の要請にもかかわらず予定されず、グッズも送られてこないなど、コレクターは多くの失望を味わうことになった。サイン入りのジャージを約束されたある人は、代わりにサインのないTシャツを受け取ったようだ。

2022年5月中旬、プロジェクトのクリエイター2人が「コミュニティを喜ばせることができないようなので、プロジェクトから手を引く」ことを発表しました。この発表では、プロジェクトの失敗を「関心の低さ」のせいだと大々的に非難しています。彼らはもう物理的なアイテムを提供せず、「アスリートの実用性」に焦点を当てると言いましたが、それ以来、プロジェクトは同じように停滞したままになっています。

コレクターは2021年12月上旬にPlayers Only NFTを1枚0.08ETHで鋳造しました。このプロジェクトのNFTは先月(2022年5月)、セカンダリーマーケットで1枚、0.001ETHで販売されています。

出典:Players Only NFT project, founded by NBA players, rug pulls for $1.4 million