DeFiプロトコルはどのようにハッキングされますか？

分散型金融セクターは猛烈なペースで成長しています。 800年前、DeFiにロックされている価値の総額はわずか2021億ドルでした。 40 年 2021 月までに、その額は 80 億ドルに増加しました。 XNUMX年XNUMX月にはXNUMX億ドルのマイルストーンを達成した。 そして今それ スタンド 140億ドル以上。 新しい市場におけるこのような急速な成長は、あらゆる種類のハッカーや詐欺師の注目を集めざるを得ませんでした。

暗号通貨調査会社のレポートによると、2019年以降、 DeFiセクターは約284.9億XNUMX万ドルを失った ハッキングやその他のエクスプロイト攻撃を防止します。 ブロックチェーンエコシステムのハッキングは、ハッカーの観点からは、富を強化する理想的な手段です。 このようなシステムは匿名であるため、損失が発生し、被害者の知らないうちにハッキングのテストや調整が行われる可能性があります。 2021年の最初の240か月の損失はXNUMX億XNUMX万ドルに達しました。 そして、これらは公に知られている事例にすぎません。 実質的な損失は数十億ドルになると当社は推定しています。

関連する 2020年の暗号ハッキング、エクスプロイト、強盗のまとめ

DeFiプロトコルからお金はどのように盗まれるのでしょうか? 私たちは数十件のハッカー攻撃を分析し、ハッカー攻撃につながる最も一般的な問題を特定しました。

サードパーティのプロトコルの誤用とビジネスロジックエラー

攻撃は主に被害者の分析から始まります。 ブロックチェーンテクノロジーは、ハッキングシナリオの自動調整とシミュレーションに多くの機会を提供します。 攻撃を高速で目に見えないようにするには、攻撃者は必要なプログラミングスキルとスマートコントラクトの仕組みに関する知識を持っている必要があります。 ハッカーの典型的なツールキットを使用すると、ネットワークのメインバージョンからブロックチェーンの独自の完全なコピーをダウンロードし、トランザクションが実際のネットワークで行われているかのように攻撃のプロセスを完全に調整できます。

次に、攻撃者はプロジェクトのビジネスモデルと使用される外部サービスを調査する必要があります。 ビジネスロジックとサードパーティサービスの数学的モデルのエラーは、ハッカーによって最も一般的に悪用されるXNUMXつの問題です。

スマートコントラクトの開発者は、多くの場合、トランザクションの時点で、特定の時点で所有しているよりも多くの関連データを必要とします。 したがって、オラクルなどの外部サービスの使用を余儀なくされます。 これらのサービスは、信頼できない環境で動作するように設計されていないため、それらの使用には追加のリスクが伴います。 暦年（2020年の夏以降）の統計によると、特定の種類のリスクが損失の最小の割合を占め、ハッキングは10回のみであり、合計で約50万ドルの損失が発生しました。

関連する ブロックチェーンセキュリティプロトコルを更新するための根本的な必要性

コーディングミス

スマート契約 IT の世界では比較的新しい概念です。 スマートコントラクト用のプログラミング言語は、その単純さにもかかわらず、まったく異なる開発パラダイムを必要とします。 開発者は単に必要なコーディング スキルを持っていないことが多く、ユーザーに多大な損失をもたらす重大な間違いを犯します。

市場に出回っているほとんどの監査会社は、実行する業務の品質については一切責任を負わず、財務面のみに関心があるため、セキュリティ監査ではこの種のリスクの一部しか排除されません。 コーディングエラーにより100以上のプロジェクトがハッキングされ、損失総額は約500億ドルに達した。 顕著な例は dForce です。 起こったハッキン​​グ ハッカーはERC-19トークン標準の脆弱性を再入攻撃と組み合わせて利用し、2020万ドルを奪った。

関連する DeFiプロジェクトのデフォルトの監査は、業界を成長させるために必須です

フラッシュローン、価格操作、マイナー攻撃

スマートコントラクトに提供される情報は、トランザクションの実行時にのみ関連します。 デフォルトでは、契約は、そこに含まれる情報の潜在的な外部操作の影響を受けません。 これにより、あらゆる種類の攻撃が可能になります。

フラッシュローンは担保のないローンですが、同じトランザクション内で借りた暗号を返却する義務があります。 借り手が資金を返還しなかった場合、取引はキャンセル（返還）されます。 そのようなローンは借り手が大量の暗号通貨を受け取り、彼ら自身の目的のためにそれらを使用することを可能にします。 通常、フラッシュローン攻撃には価格操作が含まれます。 攻撃者は、最初にトランザクション内で多数の借用トークンを販売して価格を下げ、次にトークンの非常に低い値で一連のアクションを実行してから、それらを買い戻すことができます。

マイナー攻撃は、プルーフオブワークコンセンサスアルゴリズムに基づいて機能するブロックチェーンに対するフラッシュローン攻撃の類似物です。 このタイプの攻撃はより複雑で費用がかかりますが、フラッシュローンの保護レイヤーの一部をバイパスする可能性があります。 仕組みは次のとおりです。攻撃者はマイニング容量を借りて、必要なトランザクションのみを含むブロックを形成します。 指定されたブロック内で、最初にトークンを借用し、価格を操作してから、借用したトークンを返すことができます。 攻撃者は、ブロックに入力されるトランザクションとそのシーケンスを個別に形成するため、フラッシュローンの場合と同様に、攻撃は実際にはアトミックです（他のトランザクションを攻撃に「組み込む」ことはできません）。 このタイプの攻撃は、100を超えるプロジェクトをハッキングするために使用されており、損失は合計で約1億ドルに上ります。

ハッキングの平均数は時間の経過とともに増加しています。 2020年の初めに、XNUMX件の盗難が数十万ドルを占めました。 年末までに、金額は数千万ドルに上昇しました。

関連する スマートコントラクトのエクスプロイトは、ハッキングよりも倫理的です…またはそうではありませんか？

開発者の無能

最も危険なタイプのリスクには、人的エラーの要因が関係します。 人々は手っ取り早いお金を求めて DeFi に頼ります。 多くの開発者は十分な資格を持っていないにもかかわらず、急いでプロジェクトを立ち上げようとしています。 スマート コントラクトはオープンソースであるため、ハッカーによって簡単にコピーされ、小さな方法で変更されます。 元のプロジェクトに最初の XNUMX 種類の脆弱性が含まれている場合、それらは数百のクローン プロジェクトに波及します。 RFI SafeMoon が良い例です。 重大な脆弱性が含まれています これは 2 を超えるプロジェクトに重なっており、XNUMX 億ドルを超える潜在的な損失につながっています。

この記事は、との共著者です。 ウラジスラフ・コミサロフ および ドミトリー・ミシュニン.

ここで表明された見解、考え、意見は著者のみのものであり、必ずしもコインテレグラフの見解や意見を反映または表明するものではありません。

ソース：https：//cointelegraph.com/news/how-do-defi-protocols-get-hacked