This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2023 年第 2 四半期の Web3.0 業界セキュリティ レポートがリリースされました
要約
部分的なデータ表示
序章
2023 年の第 2 四半期に Web 3.0 分野で記録された損失総額は 3 億 1,356 万 6,528 ドルに達し、前四半期とほぼ同じで、前年同期と比較すると 58% 減少しました。事故1件あたりの平均損害額もわずかに減少した。
第 2 四半期を見ると、オラクル操作の事件数は大幅に減少しましたが、出口詐欺の損失総額は増加しており、悪意のある攻撃者が採用する戦術が変化していることがわかります。
業界が進化するにつれ、MEV ロボットへの攻撃や、Sui ブロックチェーン上の「ハムスターホイール」セキュリティ脅威の発見などの事例は、セキュリティへの継続的な深い調査、先制攻撃、継続的な警戒の重要性を示しています。それぞれの課題を克服することで、私たちはより安全な Web 3.0 空間に一歩近づいています。
詳細とデータについては、レポートをご覧ください。
MEV ロボットが悪用されています
4 月初旬、MEV ロボットはイーサリアムのブロック 16964664 でハッカーによって悪用されました。悪意のあるバリデータによりいくつかの MEV トランザクションが置き換えられ、約 2,538 万ドルの損失が発生しました。この事件は、MEV ロボットに対するこれまでで最大の攻撃でした。
このインシデントはイーサリアム ブロック 16964664 で発生し、8 件の MEV トランザクションが悪意のあるバリデーターによって悪用されました。このバリデータは、2023 年 3 月 15 日に外部アドレス (EOA) 0x687A9 で確立され、それ以来、フロントランニングを阻止する Flashbot への侵入に成功しました。
ただし、MEV-boost-relay の脆弱性により、悪意のあるバリデータがバンドルされたトランザクションを再生し、MEV ボットの部分的なメザニン戦略、特にリバース トランザクションを傍受することができます。上記の脆弱性により、バリデーターは詳細なトランザクション情報を閲覧してしまいました。これらのトランザクションの詳細を使用して、悪意のあるバリデーターは独自のブロックを構築し、最初の MEV ボット トランザクションの前にプレトランザクションを挿入できます。
この悪意のあるバリデータは合計で 5 つの MEV ボットから約 2,500 万ドルを盗むことに成功し、これは CertiK がこれまでに確認した MEV ボットに対する最大の損失の 1 つとなりました。過去 12 か月間で悪用が確認された MEV ボットはわずか 6 つであり、このインシデントだけで損失総額 2,750 万ドルの 92% を占めました。
悪意のあるバリデータは MEV-boost-relay の脆弱性を悪用し、無効だが正しく署名されたブロックを送信することで攻撃を開始します。ブロック内のトランザクションを確認した後、バリデーターはそれらを再結合して MEV ボットからアセットを要求できます。この脆弱性は後で修正されました。
MEV ロボットとサンドイッチ攻撃の詳細については、レポートをご覧ください。
Atomic ウォレットがハッキングされました
今年 6 月初め、5,000 人以上の Atomic Wallet ユーザーがこの四半期最大のセキュリティ インシデントに遭遇し、1 億ドル以上の損失が発生しました。当初、アトミックウォレットは、月間アクティブユーザーの1%未満が事件の被害者であると述べていましたが、後に0.1%未満に変更しました。この規模の攻撃と巨額の損失は、ウォレット アプリケーションにおけるセキュリティ上の欠陥の深刻さを浮き彫りにしています。
攻撃者はユーザーの秘密鍵をターゲットにし、ユーザーの資産を完全に制御します。鍵を入手した後、彼らは自分のウォレットアドレスに資産を転送し、被害者のアカウントを空にすることができました。
個人投資家は、最大795万ドルを含むさまざまな規模の損失を報告した。被害を受けた小売大手5社の累積損失は総額1,700万ドルに達した。
損失を取り戻すために、Atomic Wallet は攻撃者に公開の申し出を行い、盗まれたトークンの 90% と引き換えに盗まれた資金の 10% を放棄することを約束しました。しかし、Lazarus Groupの歴史と、盗まれた資金が洗浄され始めているという事実に基づくと、資金を取り戻す可能性は非常に低いです。
Atomic Wallet とその「舞台裏」に関する詳細な分析については、レポート をご覧ください。
Sui「Hamster Wheel」の新しいエクスプロイト
以前、CertiK チームは、Sui ブロックチェーンに一連のサービス拒否の脆弱性を発見しました。これらの脆弱性の中で、新たに影響の大きい脆弱性が目立っています。この脆弱性により、Sui ネットワーク ノードが新しいトランザクションを処理できなくなり、その影響はネットワーク全体の完全なシャットダウンに相当します。 CertiK は、この重大なセキュリティ上の欠陥を発見したとして、Sui から 50 万ドルのバグ報奨金を受け取りました。米国の業界で権威あるメディアであるCoinDeskがこのイベントを報じ、大手メディアも報道を受けて関連ニュースを発表した。
このセキュリティ脆弱性は「ハムスター ホイール」と鮮やかに呼ばれており、その独特の攻撃手法は現在知られている攻撃とは異なり、攻撃者は約 100 バイトのペイロードを送信するだけで、Sui 検証ノードで無限ループを引き起こし、応答不能になります。新しい取引へ。
さらに、攻撃による被害はネットワークの再起動後も継続する可能性があり、Sui ネットワーク内で自動的に伝播する可能性があり、ハンドルで無限に走り続けるハムスターのように、すべてのノードが新しいトランザクションを処理できなくなります。したがって、この独特のタイプの攻撃を「ハムスター ホイール」攻撃と呼びます。
バグを発見した後、CertiK は、Sui のバグ報奨金プログラムを通じて、Sui にバグを報告しました。また、Sui は初回から効果的に対応し、脆弱性の深刻さを確認し、メインネットの公開前に問題を修復するための対応措置を積極的に講じました。この特定の脆弱性を修正することに加えて、Sui はこの脆弱性が引き起こす可能性のある潜在的な損害を軽減するための予防的な緩和策も実装しました。
責任ある情報開示を行った CertiK チームに感謝の意を表し、Sui 氏は CertiK チームに 50 万ドルの報奨金を授与しました。
詳細は「Suiの最新脆弱性「Hamster Wheel」、技術的詳細と徹底分析」をクリックしてください。
MPC ウォレットに基づくサーバー レベルの脆弱性
マルチパーティ計算 (MPC) は、複数の参加者が入力のプライバシーを維持しながら、入力の関数に基づいて計算を実行できるようにする暗号化手法です。その目標は、これらの入力が第三者と共有されないようにすることです。このテクノロジーには、プライバシーを保護したデータ マイニング、安全なオークション、金融サービス、安全なマルチパーティ機械学習、安全なパスワードと秘密の共有など、さまざまな用途があります。
CertiK の Skyfall チームは、現在人気のあるマルチパーティ コンピューティング (MPC) ウォレット ZenGo の予防的セキュリティ分析中に、ウォレットのセキュリティ アーキテクチャに「デバイス フォーク攻撃」と呼ばれる深刻な脆弱性を発見しました。攻撃者はこれを利用して ZenGo の既存のセキュリティ保護を回避し、ユーザーの資金をコントロールする機会を与えることができます。攻撃の核心は、API の脆弱性を悪用して新しいデバイス キーを作成し、ZenGo サーバーを騙して実際のユーザーのデバイスとして扱わせることです。
Skyfall チームは、責任ある開示原則に従って、この脆弱性を直ちに ZenGo に報告しました。問題の深刻さを認識した後、ZenGo のセキュリティ チームは問題を修正するために迅速に行動しました。攻撃の可能性を防ぐために、この脆弱性はサーバーの API レベルで修正されているため、クライアント コードを更新する必要はありません。
ZenGo は、バグ修正が完了した後、この調査結果を公的に認め、MPC ベースのウォレットのセキュリティと信頼性の強化における CertiK の重要な役割に感謝の意を表しました。
「マルチパーティ コンピューティングには大きな将来性があり、Web3.0 の分野では多くの重要なアプリケーションがあります。MPC テクノロジーは単一障害点のリスクを軽減しますが、MPC ソリューションの実装は暗号通貨ウォレットの設計に新たな複雑さをもたらすでしょう。これは複雑さは新たなセキュリティ リスクにつながる可能性があり、包括的な監査と監視のアプローチが不可欠であることを示しています。」 - CertiK 最高セキュリティ責任者、Kang Li 教授
クリックすると完全なレポートが表示されます