兄弟たち、またやられた!ほんの数日前、ResolvというDeFiプロトコルが、わずか数分で誰かに空から8千万ドルを印刷され、その後ほぼ2,500万ドル相当のETHを持ち去られた。今、その安定通貨USRの価格は、1ドルから一気に0.2ドルまで下落し、足首まで斬られている。スマートコントラクトに大きな穴があったと思うか?違う。コードはちゃんと動いていたし、設計通りだった。問題はどこに?言うのを信じてもらえないかもしれないが、たった一つの鍵だ!クラウドサーバーに置かれていた署名鍵が盗まれたのだ。これだけの話だ。これはまるで、あなたの家に18重の防盗扉をつけているのに、泥棒が窓から侵入し、壁に掛かっていた金庫の鍵を見つけてしまったようなものだ。この一連の操作は、すべてのDeFiプロジェクトにとって、血の滲むような安全教育の授業となった。あなたはブロックチェーンを使っていると思っているかもしれないが、コードは法律だと?若すぎて単純すぎる!実際にやっているのは、「クラウドサービスの安全講座」と「秘密鍵管理101」だ。ハッカーはどうやってやったのか?恥ずかしくて言いたくなるほどだ。第一段階、Resolvが使っているAmazon AWSクラウドサービスに侵入し、印刷権限を持つ「特権鍵」を見つけた。第二段階、その鍵を使って、約10万から20万ドルのUSDCをプロトコルに預け入れ、大胆に署名をして、「彼に5000万USRを印刷させろ」と命じた。少しして、また署名して、「さらに3000万を印刷しろ」と指示。オンチェーンのコントラクトは署名が正しいと判断し、承認されたとみなして印刷開始!担保のチェックや価格オラクル、発行上限などは一切なし!コントラクトはただの馬鹿で、署名だけを信じて数字は無視。こうして8千万ドルが空から生まれたのだ。あなたはこう思うかもしれない、「こんなに印刷したら、すぐにプールに売りに出して、価格を崩壊させるだろう」と。しかし、ハッカーはそんなことはお見通しだ。第三段階、その大量のUSRをすべて、wstUSRというステーキング派生品に交換した。これらは流動性が集中していないため、一気に暴露されにくい。最後に、ゆっくりとさまざまなステーブルコインに換え、さらにETHに換えて、複数のDEXやクロスチェーンブリッジを使って洗い流した。今、そのハッカーのウォレットには1万以上のETHが残っており、価値は2,400万ドルにもなる。一方、USRを持つ個人投資家たちは、プールに突然8千万枚のコインが増えたのを見て、価格は直線的に下落し、80%も失った。プロジェクト側は緊急で全機能を停止せざるを得なかったが、資金はすでになくなっていた。本当に皮肉な話だ。Resolvのこのプロジェクトは、前後18回ものセキュリティ監査を受けていたという!十八回だ!監査費用だけで高級車が買えるだろう?それでも、コードの明らかな攻撃は防いだが、クラウドサービスの裏の矢は防げなかった。これが私たちに教える教訓だ。DeFiの世界では、たとえコードがいくら美しくても、監査報告書がいくら積み上がっていても、オフチェーンの部分、例えばサーバーや管理者の秘密鍵、第三者サービスに弱点があれば、システムは紙の虎にすぎない。今やハッカーは、正面からコードに挑むのではなく、こうした脆弱な部分を狙っている。数分で数千万が消える。あなたが気づく頃には、もう遅い。市場分析によると、こうした災害は本来避けられたはずだ。例えば、リアルタイム監視を導入し、「10万を預けているのに5000万を印刷する」ような異常操作を検知したら、即座に警告を出したり、自動的にコントラクトを停止したりできる。あるいは、重要な管理者操作には複数のオンチェーン確認を追加するなどだ。でも、そんなことを言っても後の祭りだ。今やプロジェクトは停止し、コインの価格は崩壊し、ハッカーは笑っている。私たちに残されたのは、多くの疑問だけだ。いったい何割のプロジェクトが、たった一つのクラウド鍵に生殺与奪を委ねているのか?私たちは毎日、K線やファンダメンタル、ストーリーを研究しているが、もしかしたら間違った方向を追いかけているのかもしれない。最大のリスクは、実はチェーン上ではなく、見えない、触れられないサーバールームにあるのかもしれない。夜も深まり、その切り離された安定通貨のチャートを見ながら、次に鍵一つで掏り取られるのは誰だろうと考えている。---フォローしてね:暗号市場のリアルタイム分析と洞察をもっと! $BTC $ETH $SOL#Gate13周年グローバル記念祭 #Gate準備金レポート #暗号市場の乱高下
Breaking News! Another DeFi protocol drained in textbook fashion, $23 million evaporated! The hacker did just one thing: stole a key.
兄弟たち、またやられた!ほんの数日前、ResolvというDeFiプロトコルが、わずか数分で誰かに空から8千万ドルを印刷され、その後ほぼ2,500万ドル相当のETHを持ち去られた。今、その安定通貨USRの価格は、1ドルから一気に0.2ドルまで下落し、足首まで斬られている。スマートコントラクトに大きな穴があったと思うか?違う。コードはちゃんと動いていたし、設計通りだった。問題はどこに?言うのを信じてもらえないかもしれないが、たった一つの鍵だ!クラウドサーバーに置かれていた署名鍵が盗まれたのだ。これだけの話だ。これはまるで、あなたの家に18重の防盗扉をつけているのに、泥棒が窓から侵入し、壁に掛かっていた金庫の鍵を見つけてしまったようなものだ。この一連の操作は、すべてのDeFiプロジェクトにとって、血の滲むような安全教育の授業となった。あなたはブロックチェーンを使っていると思っているかもしれないが、コードは法律だと?若すぎて単純すぎる!実際にやっているのは、「クラウドサービスの安全講座」と「秘密鍵管理101」だ。ハッカーはどうやってやったのか?恥ずかしくて言いたくなるほどだ。第一段階、Resolvが使っているAmazon AWSクラウドサービスに侵入し、印刷権限を持つ「特権鍵」を見つけた。第二段階、その鍵を使って、約10万から20万ドルのUSDCをプロトコルに預け入れ、大胆に署名をして、「彼に5000万USRを印刷させろ」と命じた。少しして、また署名して、「さらに3000万を印刷しろ」と指示。オンチェーンのコントラクトは署名が正しいと判断し、承認されたとみなして印刷開始!担保のチェックや価格オラクル、発行上限などは一切なし!コントラクトはただの馬鹿で、署名だけを信じて数字は無視。こうして8千万ドルが空から生まれたのだ。あなたはこう思うかもしれない、「こんなに印刷したら、すぐにプールに売りに出して、価格を崩壊させるだろう」と。しかし、ハッカーはそんなことはお見通しだ。第三段階、その大量のUSRをすべて、wstUSRというステーキング派生品に交換した。これらは流動性が集中していないため、一気に暴露されにくい。最後に、ゆっくりとさまざまなステーブルコインに換え、さらにETHに換えて、複数のDEXやクロスチェーンブリッジを使って洗い流した。今、そのハッカーのウォレットには1万以上のETHが残っており、価値は2,400万ドルにもなる。一方、USRを持つ個人投資家たちは、プールに突然8千万枚のコインが増えたのを見て、価格は直線的に下落し、80%も失った。プロジェクト側は緊急で全機能を停止せざるを得なかったが、資金はすでになくなっていた。本当に皮肉な話だ。Resolvのこのプロジェクトは、前後18回ものセキュリティ監査を受けていたという!十八回だ!監査費用だけで高級車が買えるだろう?それでも、コードの明らかな攻撃は防いだが、クラウドサービスの裏の矢は防げなかった。これが私たちに教える教訓だ。DeFiの世界では、たとえコードがいくら美しくても、監査報告書がいくら積み上がっていても、オフチェーンの部分、例えばサーバーや管理者の秘密鍵、第三者サービスに弱点があれば、システムは紙の虎にすぎない。今やハッカーは、正面からコードに挑むのではなく、こうした脆弱な部分を狙っている。数分で数千万が消える。あなたが気づく頃には、もう遅い。市場分析によると、こうした災害は本来避けられたはずだ。例えば、リアルタイム監視を導入し、「10万を預けているのに5000万を印刷する」ような異常操作を検知したら、即座に警告を出したり、自動的にコントラクトを停止したりできる。あるいは、重要な管理者操作には複数のオンチェーン確認を追加するなどだ。でも、そんなことを言っても後の祭りだ。今やプロジェクトは停止し、コインの価格は崩壊し、ハッカーは笑っている。私たちに残されたのは、多くの疑問だけだ。いったい何割のプロジェクトが、たった一つのクラウド鍵に生殺与奪を委ねているのか?私たちは毎日、K線やファンダメンタル、ストーリーを研究しているが、もしかしたら間違った方向を追いかけているのかもしれない。最大のリスクは、実はチェーン上ではなく、見えない、触れられないサーバールームにあるのかもしれない。夜も深まり、その切り離された安定通貨のチャートを見ながら、次に鍵一つで掏り取られるのは誰だろうと考えている。
フォローしてね:暗号市場のリアルタイム分析と洞察をもっと! $BTC $ETH $SOL
#Gate13周年グローバル記念祭 #Gate準備金レポート #暗号市場の乱高下