2023年第3四半期のブロックチェーンエコロジカルセキュリティレポート

フェアリープルーフ脚本の作品

まとめ

2023年の第3四半期、暗号市場全体は平穏なままでした。 しかし、エコロジーにおける安全事故の頻度は、前の2四半期の頻度を上回りました。 当四半期中、約5億7,200万ドルの暗号資産がさまざまなセキュリティインシデントによって損失を被りました。

Fairyproofは、第3四半期に公開された198の典型的なケースを調査し、ケースを分析し、これらのインシデントに反映されたセキュリティエコシステムの特性と、ユーザーが実行できる関連する予防策を調査しました。

背景はじめにフェアリープルーフの研究報告の結果を詳細に提示する前に、この報告書の関連用語を説明し、説明する必要があります。

CCBS

CCBSは「集中型暗号資産またはブロックチェーンサービス機関」の略です。 これは通常、人間の操作によって管理される非オンチェーンサービスプラットフォームを指し、そのコアテクノロジーは主に従来の集中型テクノロジーに依存しており、日常の運用および保守活動は主にオフチェーン活動です。 従来の暗号資産取引所(Binanceなど)や暗号資産発行受付プラットフォーム(テザーなど)が典型的なものです。

フラッシュローン

ライトニングローンは、ハッカーがイーサリアム仮想マシンプラットフォーム上のスマートコントラクトを攻撃するための一般的で人気のある方法です。 フラッシュローンはよく知られているDeFiアプリケーションAAVEです[1] [2]チームによって考案されたコントラクト呼び出しメソッド。 このコントラクトコールにより、ユーザーは、トランザクションを有効にするためにブロックトランザクション内でアセットを返却する限り、この機能をサポートするDeFiアプリケーションから直接暗号資産を担保なしで貸し出すことができます [3]。 もともと、この機能は、DeFiユーザーにさまざまなオンチェーン財務活動を実行するためのより柔軟で便利な手段を提供するために発明されました。 しかし後になって、その柔軟性のためにフラッシュローンに最も使用されるシナリオは、ERC-20を貸すハッカーになりました その後、トークンは攻撃に使用されます。 フラッシュローンを開始する前に、ユーザーは契約で貸付(資産)とリターン(資産、利息、および関連する手数料)のロジックを明確に記述し、契約を呼び出してフラッシュローンを開始する必要があります。

クロスチェーンブリッジ**

クロスチェーンブリッジは、複数の独立したブロックチェーンを接続するインフラストラクチャであり、異なるブロックチェーンにデプロイされたトークンが各ブロックチェーン間で循環できるようにします。

ますます多くのブロックチェーンが独自のエコシステム、アプリケーション、および暗号資産を持つにつれて、クロスブロックチェーン通信とトランザクションの需要が大幅に増加しています。 これにより、クロスチェーンブリッジはハッカーの目にはホットなターゲットになります。

レポートのハイライト

Fairyproofは、2023年の第3四半期に発生した198の典型的なセキュリティインシデントを詳細に調査し、このレポートでは、これらのインシデントによって引き起こされた被害額、原因などのさまざまな要因を統計的に分析し、対応する予防の推奨事項と対策を提供しました。

2023年第3四半期のセキュリティインシデントの統計と分析

Fairyproofの研究チームは、2023年の第3四半期に目立った198件のセキュリティインシデントを詳細に調査し、統計結果をリストし、攻撃のターゲットと攻撃の根本原因の観点から分析しました。

これらの198件のセキュリティインシデントによる暗号資産の損失総額は5億7,200万ドルに達し、Tradingviewは主流の暗号資産の総額が1兆560億ドルであることを示しました。 時価総額に占める損失資産の割合は0.05%です。

被害者に基づくセキュリティインシデント

Fairyproofが調査したセキュリティインシデントは、被害者に応じて次の4つのカテゴリに分類できます。

1.集中型暗号資産またはブロックチェーンサービス(CCBS、CCBS以下、この概念と呼びます)

2.ブロックチェーン

3.分散型アプリケーション(dApps)

4.クロスチェーンブリッジ

このレポートでは、CCBSセキュリティインシデントとは、CCBSシステムが攻撃または侵害された場合です。 これらの事件の間、CCBSの管理下にある資産が盗まれたり、運用サービスが中断されたりしました。 ブロックチェーンセキュリティインシデントとは、ブロックチェーンメインネットに接続されているブロックチェーンメインネット、サイドチェーン、または第2層拡張システムが攻撃または侵害された場合です。 通常、これらのイベントでは、ハッカーはシステム内、システム外、またはその両方から攻撃し、ソフトウェアまたはハードウェアの誤動作と資産の損失を引き起こします。

dAppセキュリティインシデントとは、dAppが攻撃されて正しく機能せず、ハッカーがdAppで管理されている暗号資産を盗む機会を与えることです。

クロスチェーンブリッジのセキュリティイベントとは、クロスチェーンブリッジへの攻撃を指し、クロスチェーンブリッジが適切に機能しなかったり、取引した暗号資産の盗難につながったりします。

フェアリープルーフは、合計198件のインシデントを上記の4つのカテゴリに分類し、比例分布図は次のとおりです。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-5a19b0fd09-dd1a6f-69ad2a.webp)

図からわかるように、dAppのセキュリティインシデントの数は全体の86.87%を占め、他のどのカテゴリよりも多くなっています。 そのうち、198件はdAppセキュリティイベント、4件はCCBSセキュリティイベント、14件はブロックチェーンセキュリティイベント、4件はクロスチェーンブリッジセキュリティイベント、172件はdAppセキュリティイベントでした。

ブロックチェーンのセキュリティイベント

ブロックチェーンに関連するセキュリティインシデントは、さらに次の3つのカテゴリに分類できます。

ブロックチェーンメインネットII サイドチェーン

レイヤー 2 ソリューション

レイヤー1とも呼ばれるブロックチェーンメインネットは、独自のネットワーク、プロトコル、コンセンサス、バリデーターを備えた独立したブロックチェーンです。 ブロックチェーンメインネットは、トランザクション、データ、ブロックをすべて独自のバリデーターによって検証でき、最終的には一貫性があります。 ビットコインとイーサリアムは典型的なブロックチェーンメインネットです。

サイドチェーンは、ブロックチェーンメインネットと並行して動作する独立したブロックチェーンです。 また、独自のコンセンサスとバリデーターがありますが、何らかの方法で固定されます(双方向アンカーなど)[4] [5]第2層スケーリングシステムは、ブロックチェーンメインネットに依存するシステムであり、ブロックチェーンメインネットがセキュリティと最終的な一貫性を提供する必要があります 。 これは主に、より低い手数料とより低い価格で取引を処理できるブロックチェーンメインネットのスケーラビリティを解決することです。 2021年以降、イーサリアムに接続されたレイヤー2スケーリングシステムは飛躍的に成長しました。

サイドチェーンとレイヤー2スケーリングシステムはどちらも、ブロックチェーンメインネットのスケーラビリティに対応するように設計されています。 両者の主な違いは、サイドチェーンはセキュリティと一貫性を提供するためにブロックチェーンメインネットに依存していませんが、レイヤー2スケーリングシステムは依存していることです。

2023年の第3四半期には、合計で14件のブロックチェーン関連のセキュリティインシデントが発生しました。 下の図は、ブロックチェーンメインネット、サイドチェーン、およびレイヤー2スケーリングシステムの割合を示しています。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-868bc0f0f8-dd1a6f-69ad2a.webp)

上の図からわかるように、ブロックチェーンメインネットに関連するセキュリティインシデントと第2層拡張システムに関連するセキュリティイベントの数は、それぞれ全体の92.86%(13件)と7.14%を占めました

。 一般的なサイドチェーン セキュリティ イベントはありません。 拡張システムセキュリティイベントの第2層には、メティスであるシステムが含まれます[6] [7]、ブロックチェーンメインネットのセキュリティインシデントに関与するメインネットはMixinです 、

ケネットワーク[8] [9]、スイスストロニック [10]、スワップデックスブロックチェーン [11]適した 待つ。

DAPP セキュリティイベント

dAppsが関与する172件のセキュリティインシデントのうち、16件は暴走、1件は関与、155件は直接攻撃でした。 dAppへの直接攻撃には、通常、次の3つの領域が含まれます。

Dappのフロントエンド、バックエンド、およびスマートコントラクト。 したがって、直接攻撃された155件のインシデントを次の3つのカテゴリに分類します。 dApp Backend iii. dApp契約

dAppに対するフロントエンド攻撃が発生した場合、ハッカーは主にフロントエンドの脆弱性を介して攻撃し、資産を盗んだり、サービスを麻痺させたりします。

dAppバックグラウンド攻撃インシデントでは、ハッカーは主に、バックエンドとコントラクト間の通信の乗っ取り、資産の乗っ取り、サービスの麻痺など、バックグラウンドの脆弱性を介して攻撃を開始します。

dAppコントラクト攻撃の場合、ハッカーは主にコントラクトの脆弱性を介して攻撃を開始し、資産を盗んだり、サービスを麻痺させたりします。 次のグラフは、これら 3 つのカテゴリで攻撃されたインシデントの割合を示しています。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f4d56e16cd-dd1a6f-69ad2a.webp)

上の図に示すように、コントラクト攻撃、バックエンド攻撃、フロントエンド攻撃の割合はそれぞれ19.35%、0%、80.65%でした。 合計155件のインシデントのうち、125件がフロントエンド攻撃でした。

30件は契約攻撃でした。

さらに、さまざまなイベントによって引き起こされる暗号資産の損失額を調査しました。 このうち、契約攻撃とフロントエンド攻撃による損失はそれぞれ2億1,000万米ドルと3,980万米ドルで、次の図に示すように、それぞれ総損失の84.03%と15.97%を占めています。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-afbfc4260b-dd1a6f-69ad2a.webp)

多くの契約の脆弱性の中で、ロジックの欠陥、秘密鍵の漏洩、フラッシュローン攻撃、および再入攻撃が典型的な脆弱性です。

直接契約攻撃を含む30のセキュリティインシデントを調査し、次のスケールグラフを取得しました。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-b3751e6100-dd1a6f-69ad2a.webp)

上の図に示すように、ロジックの欠陥はコントラクトセキュリティイベントの割合が最も高いです。 論理的な欠陥には、多くの場合、パラメーターの検証の欠落、アクセス許可の検証の欠落などがあります。 ロジックの欠陥によって引き起こされたセキュリティインシデントの数は13でした。

次の図は、各脆弱性によって発生した損失額の比率を示しています。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d3d647d2ff-dd1a6f-69ad2a.webp)

秘密鍵の漏洩による損失額が最も多い割合を占めています。 4つの秘密鍵侵害により、合計損失は1億7,300万ドル、つまり総損失の82.56%になりました。

原因に基づく安全上の問題

ブロックチェーンのセキュリティインシデントの原因に基づいて、事故を3つのカテゴリに分類します。 i.ハッカーの攻撃によって引き起こされます

逃げる iii. 他

私たちの調査結果は下の図に示されています。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-31c0f83cbf-dd1a6f-69ad2a.webp)

上の図に示すように、ハッカーの攻撃と逃げ出しによるセキュリティ事故の割合は、それぞれ91.92%(182件)と8.08%(16件)でした。

以下のチャートに示すように、これらの原因によって引き起こされた損失を調べました。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-75f23ae294-dd1a6f-69ad2a.webp)

上の図に示すように、ハッキングと逃走による損失はそれぞれ94.69%と5.31%を占め、前者は5億4,100万ドルの損失につながり、後者は3,035万ドルの損失につながりました。 これは、ハッキングが2023年第3四半期も業界のセキュリティに対する主要な脅威であり続けることを示しています。

ハッキングインシデント次の図に示すように、ハッキングインシデントを調査しました。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-003c1041e6-dd1a6f-69ad2a.webp)

上の図に示すように、dApps、ブロックチェーン、CCBS、クロスチェーンブリッジに対するハッカー攻撃の割合は、それぞれ87.64%(156)、7.87%(14)、2.25%(4)でした

2.25%（4）。

以下のグラフに示すように、さまざまな種類のイベントによって引き起こされた損失の量を調べました。

! [2023年第3四半期ブロックチェーンエコロジカルセキュリティレポート] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d76a8c565c-dd1a6f-69ad2a.webp)

ブロックチェーン、dApps、クロスチェーンブリッジ、CCBSに対するハッカーの攻撃によって引き起こされた資産損失は、それぞれ36.97%、46.25%、0.79%、15.99%を占め、具体的な損失はそれぞれ2億ドル、2億5000万ドル、8650万ドル、430万ドルでした。 その他のセキュリティインシデントは、重大な損失額にはなりませんでした。

ランアウェイイベント

2023年の第3四半期に発生した典型的な暴走イベントは、dAppプロジェクトでした。 合計3,035万ドルは、16件の流出事件によって引き起こされました。 この被害額は、ハッキングによる被害額よりもはるかに小さいです。

調査結果

統計によると、2023年の第3四半期でも、ハッカーの最も好ましいターゲットはdAppプロジェクトであり、dAppへの攻撃は他のどのオブジェクトをはるかに上回り、攻撃の総数の87.64%、総損失の46.25%を占めています。 すべての攻撃の中で、最も深刻なのはマルチチェーンでした[12] 攻撃。

ブロックチェーンエコシステム全体にとって、ハッカーは依然として最大のセキュリティ脅威であり、ハッカーによって引き起こされるセキュリティインシデントの数とそれらが引き起こす資産の損失の両方の点で、ハッカーの攻撃によって引き起こされるセキュリティインシデントの数は、セキュリティインシデントの総数の91.92%以上を占め、エコロジーへのイベントの実行によって引き起こされる脅威をはるかに上回っています。

典型的なdAppは、フロントエンド、バックエンド、スマートコントラクトの3つの部分で構成されています。 ハッカーがdAppを攻撃するとき、彼らは同時に1つまたは複数の部分を攻撃します。 統計によると、dAppフロントエンドへの攻撃はコントラクト攻撃をはるかに上回っていますが、スマートコントラクトへの攻撃による被害額はフロントエンドへの被害額をはるかに上回っています。

これは、スマートコントラクトの隠れた危険性が依然としてdAppセキュリティの最大の隠れた危険性であることを示しています。

2023年の第3四半期の典型的な暴走イベントはすべてdAppプロジェクトで発生しました。

スマートコントラクトがハッキングされたインシデントのうち、次の3つのカテゴリによって引き起こされた攻撃の数は、上位3つです:1番目:ロジックの欠陥、2番目:フラッシュローン

しかし、損失額に関しては、秘密鍵の漏洩による攻撃による資産損失額が上位にあり、他のカテゴリーを遥かに上回っています。

安全事故を未然に防ぐための実践的な計画と対策

このセクションでは、2023年第3四半期に発生したセキュリティインシデントの特性に基づいて、ブロックチェーン開発者とユーザーがブロックチェーンリスクを管理および防止するのに役立ついくつかのシナリオと対策をまとめます。 ブロックチェーン開発者とユーザーの両方が、日常業務において可能な限りこれらの計画と対策を積極的に実装および実践し、プロジェクトと暗号資産のセキュリティを最大限に保護するよう努めることをお勧めします。

注:「ブロックチェーン開発者」とは、ブロックチェーンプロジェクト自体の開発者と、ブロックチェーンシステムまたはその拡張システム(暗号資産など)に関連する開発者の両方を指します。 「ブロックチェーン利用者」とは、ブロックチェーンシステムの活動(管理、運用、保守等)又は暗号資産取引に参加する全ての利用者をいいます。

** ブロックチェーン開発者向け**

第3四半期には、レイヤ2スケールアウトシステムに関連する典型的なセキュリティインシデントはありませんでしたが、レイヤ2スケールアウトシステムのセキュリティは依然として注目に値します。 第2層拡張スキームの開発と着陸は、エコシステム全体のホットスポットと焦点であり続けるため、スキームのセキュリティに関する研究は業界にとって大きな課題になります。

ブロックチェーンアプリケーションでは、プロジェクトが一定期間安定して展開および実行される場合、プロジェクトの主要な操作を制御する権限をマルチシグウォレットまたはDAO組織に移して管理する必要があります。

ハッカーがスマートコントラクトの脆弱性を発見すると、フラッシュローンを使用してコントラクトを攻撃することがよくあります。 これらの悪用可能な脆弱性には、多くの場合、再入性の脆弱性、ロジックの欠陥(権限の検証の欠如、不適切な価格設定アルゴリズムなど)が含まれます。 これらの脆弱性を厳密に防止して対処するには、スマートコントラクト開発者にとって高い注意が必要であり、重要度のトップにランク付けする必要さえあります。

私たちの統計はまた、ますます多くのハッカーがDiscord、Twitterなどのソーシャルメディアソフトウェアを介してフィッシング攻撃を開始していることを示しています。 この現象は2022年から2023年の第3四半期まで続きました。 かなりの数のユーザーが損失を被っています。 プロジェクトチームは、ソーシャルメディアの厳格かつ包括的な管理を実装し、対応するセキュリティソリューションを展開して、ソーシャルメディア運用のセキュリティと安定性を確保し、ハッカーによる悪用を防ぐ必要があります。

ブロックチェーンユーザー

ますます多くのユーザーがさまざまなブロックチェーンエコロジカル活動に参加し、さまざまなブロックチェーンエコロジカルアセットを保有し始めています。 その過程で、クロスチェーントランザクション活動も急速に成長しました。 ユーザーがクロスチェーントランザクションに参加する場合、ユーザーはハッカーの標的になることが多いクロスチェーンブリッジと対話する必要があります。 したがって、ユーザーがクロスチェーントランザクションを開始する前に、使用するクロスチェーンブリッジのセキュリティステータスと運用ステータスを詳細に調査および理解して、クロスチェーンブリッジの安全性、安定性、信頼性を確保する必要があります。

ユーザーがdAppと対話するときは、スマートコントラクトの品質とセキュリティ、およびdAppフロントエンドのセキュリティに細心の注意を払う必要があります。 フロントエンドに表示される未知で非常に疑わしい情報、プロンプト、ダイアログなどに注意し、自由にクリックしたり、指示に従ったりしないでください。

ユーザーは、ブロックチェーンプロジェクトを操作または投資する前に、ブロックチェーンプロジェクトの監査レポートを注意深く確認して読むことを強くお勧めします。 監査レポートがないプロジェクトや疑わしいものを報告するプロジェクトへの関与について話し合う。

コールドウォレットやマルチシグウォレットを使用して、大きな資産や頻繁な取引に使用されない資産を管理することをお勧めします。 ホットウォレットの運用上のセキュリティに常に注意し、ホットウォレットがインストールされているハードウェアプラットフォームが本質的に安全で信頼性が高く、安定していることを確認してください。

ユーザーは、ブロックチェーンプロジェクトのチームの背景についてある程度の調査と理解を行う必要があります。 背景がぼやけていて、クレジットが不足しているチームには注意してください。 このようなプロジェクトで逃げるリスクに注意してください。 頻繁に使用される集中型取引所の場合、ユーザーは自分の背景と信用にもっと注意を払い、取引所の長期的かつ持続可能な安全な運用を確保するために、複数のサードパーティのデータソースからこれらの取引所の背景、情報、データを可能な限り検証する必要があります。

リソース

[1] ゴースト。

[2] フラッシュローン…フラッシュローン/

[3] ERC-20トークン標準。

[4] サイドチェーン。

[5] レイヤー2。

[6] メティス。

[7] ミックスイン。

[8] ケネットワーク.

[9] スイスストロニク。

[10] スワップデックスブロックチェーン。

[11] 適した。

[12] マルチチェーン。