この一連の記事は、OKX Web3とBlockSecが共同キュレーションした「最新の逃避戦略」から抜粋されており、DeFiユーザーやDeFiプロジェクトチームが直面するセキュリティ上の懸念に対処しています。
Q1:クジラが遭遇したいくつかの現実のDeFiリスク事例を共有していただけますか?
BlockSecセキュリティチーム: DeFiの魅力は、その安定した高い資産リターンにあり、大口プレイヤーを引きつけ、プロジェクトがクジラを誘致して流動性を高めるよう促しています。ニュースでも報じられているように、私たちはクジラが多額のDeFi預金を行っているのを頻繁に目にします。しかし、これらの「クジラ」は、安定したリターンを享受する一方で、固有のリスクを乗り越えています。公に文書化されているDeFiリスクのシナリオを深く掘り下げていくので、目を離さないでください。
事例1:2022年のPolyNetworkインシデントとDiscus Fishの100万ドルチャレンジ
2022年のPolyNetworkセキュリティインシデントでは、6億米ドル以上の資産が攻撃されました。「Discus Fish」(Coboの共同創業者兼CEO)も1億米ドルが関与していたと噂されていました。最終的に攻撃者は資金を返還し、インシデントは満足のいく形で解決し、「Discus Fish」はこの件を記念してブロックチェーン上に記念碑を建立する計画を発表しましたが、そのプロセスは非常に苦痛だったに違いありません。一部のセキュリティインシデントは良い結果に終わりますが、大多数はそうではありません。
事例2:SushiSwapショック — 2023年の攻撃で0x Sifuが330万ドルを壊滅的に喪失
有名な分散型取引所(DEX)であるSushiSwapは2023年に攻撃を受け、0x Sifuとして知られる大口保有者に330万ドル以上の損失をもたらしました。彼の個人の損失は、総損失額の約90%を占めました。
事例3:Prisma侵害 — 4つのウォレットから80%の損失、400万ドルが未回収
今年の3月のPrismaセキュリティインシデントでは、総損失額は1400万米ドルに達しました。これらの損失は17のウォレットアドレスから発生し、1ウォレットあたりの平均損失額は82万米ドルでした。しかし、4人のユーザーが被った損失は総額の80%を占めました。盗まれた資産のほとんどは、まだ回収されていません。
最終的に、DeFi、特にメインネットでは、無視できないガス料金がかかるため、エアドロップのインセンティブを除けば、収益性は多額の資産投資にかかっています。したがって、DeFiプロジェクトの主な総ロックバリュー(TVL)は、一般的に「クジラ」によって貢献されており、一部のプロジェクトでは、クジラの2%がTVLの80%に貢献しています。セキュリティインシデントが発生すると、これらのクジラは必然的に損失の大部分を負担することになります。 「クジラがご馳走を食べているところだけを見ることはできない。彼らもまた、殴られる瞬間があるのだ。」
OKX Web3ウォレットセキュリティチーム: オンチェーンの世界の繁栄とともに、ユーザーが遭遇するDeFiリスク事例も増加しており、オンチェーンセキュリティは常にユーザーの最も基本的で重要なニーズです。
事例1:PlayDapp侵害 — キー漏洩により3200万ドルのPLAトークンが盗難
PlayDapp秘密鍵漏洩:2024年2月9日から12日の間、イーサリアムベースのゲームプラットフォームPlayDappが侵害を受け、攻撃者は漏洩した秘密鍵を悪用しました。攻撃者は不正に17.9億PLAトークンを鋳造して盗み、約3235万米ドルの損失をもたらしました。攻撃者はPLAトークンに新しい鋳造オペレーターを追加し、大量のPLAを鋳造し、それを複数のオンチェーンアドレスと取引所に分散させました。
事例2:Hedgey Financeハック — コントラクトの欠陥悪用により4470万ドルを喪失
Hedgey Finance攻撃インシデント。2024年4月19日、Hedgey FinanceはイーサリアムとArbitrumで重大なセキュリティ脆弱性を被り、約4470万米ドルの損失をもたらしました。攻撃者は、ユーザー入力検証が欠如したコントラクトの欠陥を悪用し、脆弱なコントラクトへのアクセス権限を取得して、そこから資産を盗みました。
Q2:現在のDeFiに存在する主なリスクの種類をまとめることは可能ですか?
OKX Web3ウォレットセキュリティチーム: 実際のインシデントから、現在のDeFi分野における4つの一般的なリスクの種類を特定しました。
第一種:フィッシング攻撃。
フィッシング攻撃は一般的なサイバー攻撃の一種であり、正規のエンティティや個人になりすまして、秘密鍵、パスワード、その他の個人データなどの機密情報を提供するように被害者を欺きます。DeFi分野では、フィッシング攻撃は通常、次の方法で行われます。
·偽のウェブサイト:攻撃者は実際のDeFiプロジェクトに似せたフィッシングウェブサイトを作成し、ユーザーに承認への署名やトランザクションの転送をさせます。
·ソーシャルエンジニアリング攻撃:Twitterでは、攻撃者は高模倣アカウントを使用するか、プロジェクトパーティのTwitterまたはDiscordアカウントを乗っ取って、偽のプロモーション活動やエアドロップ情報(実際にはフィッシングリンク)を投稿し、ユーザーに対するフィッシング攻撃を実行します。
·悪意のあるスマートコントラクト:攻撃者は魅力的に見えるスマートコントラクトまたはDeFiプロジェクトをリリースし、ユーザーにアクセス権限の承認をさせ、それによって資金を盗みます。
第二種:ラグプル。
ラグプルはDeFi分野特有の詐欺であり、プロジェクト開発者が多額の投資を誘致した後、突然資金を引き出して姿を消し、投資家の資金が完全に無くなる状況を指します。ラグプルは通常、分散型取引所(DEX)や流動性マイニングプロジェクトで発生します。主な兆候は次のとおりです。
流動性の引き出し:開発者は流動性プールに多額の流動性を提供してユーザー投資を誘致し、その後突然すべての流動性を引き出し、トークン価格を急落させ、投資家に多額の損失をもたらします。
·偽のプロジェクト:開発者は合法的に見えるDeFiプロジェクトを作成し、誤った約束と高いリターンでユーザーを投資させますが、実際には実際の製品やサービスはありません。
·コントラクト権限の操作:開発者はスマートコントラクトのバックドアまたは権限を使用して、コントラクトのルールを変更したり、いつでも資金を引き出したりします。
第三種:スマートコントラクトの脆弱性。
スマートコントラクトはブロックチェーン上で実行される自己実行コードであり、一度デプロイされると変更できません。スマートコントラクトに脆弱性がある場合、深刻なセキュリティ問題につながる可能性があります。一般的なスマートコントラクトの脆弱性には次のものがあります。
·再入可能性の脆弱性:攻撃者は、以前の呼び出しが完了する前に、脆弱なコントラクトを繰り返し呼び出し、コントラクトの内部状態に問題を引き起こします。
·論理エラー:コントラクトの設計または実装における論理的な間違いにより、予期しない動作または脆弱性が発生します。
·整数オーバーフロー:コントラクトは整数演算を正しく処理せず、オーバーフローまたはアンダーフローを引き起こします。
·価格操作:攻撃者はオラクルの価格を操作して攻撃を実行します。
·精度損失:浮動小数点数または整数値の精度に関する問題による計算エラー。
·入力検証の不備:ユーザー入力の検証が不十分であるため、潜在的なセキュリティ問題が発生します。
第四種:ガバナンスリスク。
ガバナンスリスクは、プロジェクトのコアな意思決定および制御メカニズムに関連しています。悪意を持って悪用された場合、プロジェクトが意図した目標から逸脱する可能性があり、深刻な経済的損失や信頼危機につながる可能性さえあります。一般的なリスクの種類には次のものがあります。
·秘密鍵の漏洩
-
一部のDeFiプロジェクトの特権アカウントは、EOA(外部所有アカウント)またはマルチシグウォレットによって制御されています。これらの秘密鍵が漏洩または盗難された場合、攻撃者はコントラクトまたは資金を自由に操作できます。
-
ガバナンス攻撃
-
一部のDeFiプロジェクトは分散型ガバナンススキームを採用していますが、依然として次のようなリスクに直面しています。
-
トークン操作:攻撃者は短期間で大量のガバナンストークンを借りることによって、投票結果を操作します。
-
権力集中:ガバナンストークンが少数の手に集中している場合、これらの個人は投票権を集中させることによってプロジェクト全体の意思決定を制御できます。
