この一連の記事は、OKX Web3とBlockSecが共同キュレーションした「最新の脱出戦略」から抜粋したもので、DeFiユーザーおよびDeFiプロジェクトチームが直面するセキュリティ上の懸念に対処します。
Q1:クジラが遭遇した実際のDeFiリスク事例をいくつか教えていただけますか?
BlockSecセキュリティチーム: DeFiの魅力は、その安定した高い資産リターンにあり、大口投資家を引きつけ、プロジェクトがクジラを誘致して流動性を高めることを促しています。ニュースでも報じられているように、私たちは頻繁にクジラが多額のDeFi預金を行っているのを目にします。しかし、これらの「クジラ」は、安定したリターンを享受する一方で、固有のリスクを乗り越えています。公に文書化されたDeFiリスクのシナリオを深く掘り下げていくので、ご注目ください。
事例1:2022年PolyNetworkインシデントとDiscus Fishの100万ドルチャレンジ
2022年のPolyNetworkセキュリティインシデントでは、6億米ドル以上の資産が攻撃されました。「Discus Fish」(Coboの共同創業者兼CEO)も1億米ドルが関与していたという噂がありました。最終的に攻撃者は資金を返還し、インシデントは満足のいく形で解決され、「Discus Fish」はこの件を記念してブロックチェーン上に記念碑を建立する計画を発表しましたが、そのプロセスは非常に苦痛であったことでしょう。一部のセキュリティインシデントは良い結果に終わりますが、大多数はそうではありません。
事例2:SushiSwapショック -- 0x Sifu、2023年攻撃で330万ドルの壊滅的な損失
有名な分散型取引所(DEX)であるSushiSwapは2023年に攻撃を受け、0x Sifuとして知られる大口保有者が330万ドル以上を失うという甚大な損失を被りました。彼の個人的な損失は、総損失額の約90%を占めました。
事例3:Prisma侵害 -- 4つのウォレットで80%の損失、400万ドルが未回収
今年3月のPrismaセキュリティインシデントでは、総損失額は1400万米ドルに達しました。これらの損失は17のウォレットアドレスから発生し、1ウォレットあたりの平均損失額は82万米ドルでした。しかし、4人のユーザーが被った損失は総額の80%を占めました。盗まれた資産のほとんどは、まだ回収されていません。
結局のところ、DeFi、特にメインネットでは、無視できないガス料金がかかるため、エアドロップのインセンティブを除けば、収益性は相当な資産投資にかかっています。したがって、DeFiプロジェクトの主な総ロックバリュー(TVL)は「クジラ」によって貢献されており、一部のプロジェクトでは、クジラの2%がTVLの80%に貢献しています。セキュリティインシデントが発生すると、これらのクジラは必然的に損失の大部分を負担することになります。 「クジラがご馳走を食べているところだけを見るのではなく、彼らもまた打たれる瞬間がある。」
OKX Web3 Walletセキュリティチーム: オンチェーンの世界が繁栄するにつれて、ユーザーが遭遇するDeFiリスク事例も増加しており、オンチェーンセキュリティは常にユーザーの最も基本的で重要なニーズです。
事例1:PlayDapp侵害 -- キー漏洩により3,200万ドル相当のPLAトークンが盗難
PlayDapp秘密鍵漏洩:2024年2月9日から12日の間、イーサリアムベースのゲームプラットフォームPlayDappは侵害を受け、攻撃者は漏洩した秘密鍵を悪用しました。攻撃者は不正に17.9億PLAトークンをミントして盗み、約3,235万米ドルの損失をもたらしました。攻撃者はPLAトークンに新しいミントオペレーターを追加し、大量のPLAをミントし、それを複数のオンチェーンアドレスや取引所に分散させました。
事例2:Hedgey Financeハック -- コントラクトの脆弱性悪用により4,470万ドルを損失
Hedgey Finance攻撃インシデント。2024年4月19日、Hedgey FinanceはイーサリアムとArbitrumで重大なセキュリティ脆弱性に遭遇し、約4,470万米ドルの損失を被りました。攻撃者は、ユーザー入力検証が欠如したコントラクトの欠陥を悪用し、脆弱なコントラクトへの権限を取得し、それによってそこから資産を盗みました。
Q2:現在のDeFiに存在する主なリスクの種類をまとめることは可能ですか?
OKX Web3 Walletセキュリティチーム: 実際のインシデントから、現在のDeFi分野における4つの一般的なリスクの種類を特定しました。
第一種:フィッシング攻撃。
フィッシング攻撃は一般的なサイバー攻撃の一種であり、正規のエンティティや個人を装って、秘密鍵、パスワード、その他の個人情報などの機密情報を提供するように被害者を欺きます。DeFi分野では、フィッシング攻撃は通常、以下の方法で実行されます。
・偽のウェブサイト:攻撃者は実際のDeFiプロジェクトと似たフィッシングウェブサイトを作成し、ユーザーに承認に署名させたり、トランザクションを転送させたりします。
・ソーシャルエンジニアリング攻撃:Twitterでは、攻撃者は高精度の偽アカウントを使用したり、プロジェクト側のTwitterまたはDiscordアカウントを乗っ取ったりして、偽のプロモーション活動またはエアドロップ情報(実際にはフィッシングリンク)を投稿し、ユーザーに対してフィッシング攻撃を実行します。
・悪意のあるスマートコントラクト:攻撃者は魅力的に見えるスマートコントラクトまたはDeFiプロジェクトをリリースし、ユーザーにアクセス権限の承認を騙し取らせ、それによって資金を盗みます。
第二種:ラグプル。
ラグプルはDeFi分野特有の詐欺であり、プロジェクト開発者が大量の投資を誘致した後に突然資金を引き出して姿を消し、投資家の資金を完全に巻き上げる状況を指します。ラグプルは通常、分散型取引所(DEX)および流動性マイニングプロジェクトで発生します。主な兆候は以下の通りです。
流動性の引き出し:開発者は流動性プールに多額の流動性を提供してユーザー投資を誘致し、その後突然すべての流動性を引き出し、トークン価格を急落させ、投資家に多大な損失をもたらします。
・偽のプロジェクト:開発者は合法的に見えるDeFiプロジェクトを作成し、偽の約束と高いリターンでユーザーに投資を騙し取りますが、実際には実際の製品やサービスはありません。
・コントラクト権限の操作:開発者はスマートコントラクトのバックドアまたは権限を使用して、コントラクトのルールを変更したり、いつでも資金を引き出したりします。
第三種:スマートコントラクトの脆弱性。
スマートコントラクトはブロックチェーン上で実行される自己実行コードであり、一度デプロイされると変更できません。スマートコントラクトに脆弱性があると、深刻なセキュリティ問題につながる可能性があります。一般的なスマートコントラクトの脆弱性には以下のようなものがあります。
・リエントランシー脆弱性:攻撃者は、前の呼び出しが完了する前に脆弱なコントラクトを繰り返し呼び出し、コントラクトの内部状態に問題を引き起こします。
・論理エラー:コントラクトの設計または実装における論理的な間違いにより、予期しない動作や脆弱性が発生します。
・整数オーバーフロー:コントラクトが整数演算を正しく処理せず、オーバーフローまたはアンダーフローを引き起こします。
・価格操作:攻撃者はオラクルの価格を操作して攻撃を実行します。
・精度損失:浮動小数点数または整数の精度に関する問題による計算エラー。
・入力検証の不備:ユーザー入力の検証が不十分であり、潜在的なセキュリティ問題につながります。
第四種:ガバナンスリスク。
ガバナンスリスクは、プロジェクトのコアな意思決定および制御メカニズムに関連しています。悪意を持って悪用された場合、プロジェクトを意図した目標から逸脱させ、深刻な経済的損失や信頼危機につながる可能性さえあります。一般的なリスクの種類は以下の通りです。
・秘密鍵の漏洩
- 一部のDeFiプロジェクトの特権アカウントは、EOA(外部所有アカウント)またはマルチシグウォレットによって制御されています。これらの秘密鍵が漏洩または盗難された場合、攻撃者はコントラクトまたは資金を自由に操作できます。
・ガバナンス攻撃
-
一部のDeFiプロジェクトは分散型ガバナンススキームを採用していますが、依然として以下のリスクに直面しています。
-
トークン操作:攻撃者は短期間で大量のガバナンストークンを借りることで、投票結果を操作します。
-
権力集中:ガバナンストークンが少数の手に高度に集中している場合、これらの個人は投票権を集中させることでプロジェクト全体の意思決定を制御できます。
