Bit Jungle: 2023 年上半期のブロックチェーン セキュリティ分析レポート

序文

デジタル化プロセスが継続的に深化するにつれ、ブロックチェーン技術は多くの分野で重要な推進力となり、金融、医療、物流などの伝統的な産業に破壊的な変化をもたらすだけでなく、参加者にさらなるオープン性と透明性をもたらします。経験。しかし、ブロックチェーン技術の普及に伴い、ブロックチェーン技術に関連するセキュリティ問題はますます深刻になってきています。近年、ブロックチェーンのセキュリティインシデントが多発し、個人や企業に多大な損失をもたらしただけでなく、ブロックチェーン技術の開発にも課題をもたらしました。

このレポートは、2023年上半期のブロックチェーンセキュリティインシデントを整理・分析し、ブロックチェーンセキュリティの隠れた危険性を探り、ブロックチェーンセキュリティインシデントの原因を分析し、対応する解決策や提案を提案することを目的としています。この報告書を通じて、私たちはブロックチェーンのセキュリティ問題に対するすべての関係者の関心を集め、ブロックチェーン技術の安全な開発を共同で促進し、デジタル世界の将来のための強固な基盤を築くことを望んでいます。

セキュリティ事故による経済的損失の概要

2023年上半期には計192件の大規模攻撃が発生し、総額約9億2,000万ドルの損失が発生した。

• 合計 4 件のセキュリティ インシデントで 1 億ドルを超える損失:

Euler Finance フラッシュローン攻撃により 1 億 9,700 万ドルの損失

ブロックチェーンによる犬の鼻のしわ詐欺プロジェクトで1億2,700万ドルの損失が発生

BonqDAO と AllianceBlock が価格を操作し、1 億 2,000 万米ドルの損失を引き起こした

アトミックウォレットが盗まれ、1億ドルを失った

• 損失額が1,000万ドルから1億ドルの範囲にあった12件の事件
• 100 万米ドルから 1,000 万米ドルの損失を伴う事件が 40 件発生しました。

攻撃手法の分析概要

セキュリティインシデントで使用された攻撃手法の分析によると、最も頻繁に発生した攻撃手法はラグ プルとコントラクトの脆弱性で、両方とも 32 件の攻撃がありました。続いてフラッシュ ローン攻撃が 20 件発生し、全事件の 14.93% を占めました。

発生件数が最も多かった攻撃手法の中で損失額が最も大きかったのはフラッシュローンで、被害総額は2億5000万ドルに達した。続いてブロックチェーン詐欺が発生しましたが、この詐欺は 7 回のみ発生し、2 億 3,000 万ドルの損失を引き起こしました。

契約上の脆弱性と Rug Pull の合計数は比較的多く、全攻撃手法の 47.76% を占めていますが、それらによる損失は前 2 つよりはるかに少なく、損失額は 6,649 万米ドルのみです。こうした攻撃の発生率の高さと巨額の損失は、仮想通貨市場のリスクを改めて浮き彫りにしています。ブロックチェーン技術には大きな可能性と応用の可能性がありますが、依然としてセキュリティリスクと技術的課題に直面しています。

ラグプル事件が多発しており、そのうちプロジェクト暴走額の75％は1,000万ドル未満、プロジェクト暴走額の28％は100万ドル未満である。このようなプロジェクトは通常、公式 Web サイト、Twitter、Telegram、Github などの情報が不足しており、ロードマップやホワイトペーパーもなく、チームメンバーの情報も疑わしく、プロジェクトの立ち上げから最終実行までの期間は 3 か月を超えません。

このようなセキュリティインシデントによる損失は無視できず、損失を回避するためには、プロジェクトの背景調査を強化し、不見識情報の漏洩防止に対する意識を高め、早期の予防による防止能力の向上が必要です。

攻撃されるセキュリティ イベントの種類の概要

1 チェーン アプリケーション

分散型アプリケーション (DApp) としても知られるオンチェーン アプリケーションは、ブロックチェーンまたは分散型台帳テクノロジーに基づいて構築されたアプリケーションです。データの保存、トランザクション処理、スマート コントラクトの実行にブロックチェーンの機能を使用します。

• 2023 年上半期には、オンチェーン アプリケーションで合計 157 件のセキュリティ インシデントが発生し、インシデント総数の 81% を占めました。オンチェーンアプリケーションの損失総額は7億4000万ドルに達し、損失総額の79％を占めた。オンチェーン アプリケーションは、過去 6 か月で最も攻撃頻度が高く、損失額が最も多かったタイプでした。
• 上半期の 6 か月間におけるオンチェーン アプリケーションのセキュリティ インシデントの発生頻度はほぼ同じで、セキュリティ インシデントの原因のトップ 3 は、ラグ プル、契約の抜け穴、Twitter のハッキングでした。

提案：

※プロジェクト当事者は、プロジェクトの設計・構築時にプロジェクトのセキュリティを十分に考慮し、機能実装時には検証機能の回避や不具合の有無などを考慮し、プロジェクト稼働前にセキュリティ監査を十分に実施します。 。

• ユーザーはチェーン上のアプリケーションに投資する前に、可能な限り調査し、慎重に決定し、慎重に投資する必要があります。

2 交換

Exchange（取引所）とは、デジタル資産の取引および取引サービスを提供するプラットフォームまたは機関を指します。これにより、ユーザーはあるデジタル資産 (ビットコイン、イーサリアムなど) を別のデジタル資産と交換したり、法定通貨 (USD、ユーロなど) でデジタル資産を売買したりすることができます。

※2023年上半期、取引所はセキュリティインシデント件数で第2位にランクされ、上半期には取引所分野で11件のセキュリティインシデントが発生し、総額7,318万米ドルの損失が発生した。攻撃の主な理由は契約の抜け穴です。 ※取引所に関連したセキュリティインシデントは毎月発生しています。そして、セキュリティインシデントによって失われた金額は決して小さいものではありません。

提案：

*ユーザーはフィッシングや悪意のあるリンクに注意してください。信頼できないリンク、特に電子メールやソーシャル メディア経由で受信したリンクをクリックしないでください。

• アカウントのアクティビティを定期的にチェックし、すべての資金を一元的に保管しないようにし、機器を更新して安全に保ち、早期監査のために信頼できるセキュリティ会社を選択します。

3 パブリックチェーン/サイドチェーン

パブリックチェーンと呼ばれるパブリックブロックチェーンは、世界中の誰もがいつでもアクセスして読み取ることができ、誰でもトランザクションを送信して効果的な確認を取得できるコンセンサスブロックチェーンを指します。サイドチェーンはメインチェーンと並行するブロックチェーンであり、ブロックチェーンの拡張プロトコルとして理解できます。クロスチェーン資産交換、プライベートチェーンの拡張、業界固有のブロックチェーンソリューションなど、特定のビジネスニーズを満たすため。

• 2023 年上半期では、パブリック チェーン/サイド チェーンが 3 番目に大きな種類のセキュリティ インシデントとなります。攻撃の主な理由はスマート コントラクトの脆弱性です。

提案：

• 信頼できるコンセンサスメカニズムを選択してください。
• 安全な暗号化アルゴリズムを使用してキーを生成および保存し、マルチ署名テクノロジーを使用してトランザクションのセキュリティを強化します。
• コードレビュー、セキュリティテスト、脆弱性スキャンなどの定期的なセキュリティ監査を実施して、潜在的なセキュリティホールや弱点を特定します。

4 クロスチェーンブリッジ

クロスチェーン ブリッジは、異なるブロックチェーン ネットワーク間でのデジタル資産の転送を可能にする技術ソリューションです。クロスチェーンブリッジは通常、元のチェーン上のスマートコントラクト内のトークンをロックまたはバーンし、ターゲットチェーン上の別のスマートコントラクトを通じてトークンのロックを解除またはミントします。クロスチェーン通信は本質的に、セキュリティ、信頼、柔軟性という 3 つの次元でのトレードオフを必要とします。これらの複雑な要因の存在により、Web3 分野ではクロスチェーン ブリッジが主な攻撃対象となっています。

• 2023 年上半期には、クロスチェーンブリッジのセキュリティインシデントが 8 件発生し、1,137 万米ドルの損失が発生しました。
• 2022 年、12 件のクロスチェーン ブリッジのセキュリティ インシデントにより合計約 18 億 9 千万米ドルの損失が発生し、すべてのプロジェクト タイプの中で損失額が第 1 位となりました。昨年と比較すると、今年上半期にはクロスチェーンブリッジでのセキュリティインシデントが7件発生しており、最近のPoly NetworkとMultichainのセキュリティインシデントに加えて、10件のセキュリティインシデントが発生しています。事件数は昨年よりも多く、より深刻な事態が発生しています。攻撃を受ける主な理由は、スマートコントラクトの脆弱性やフラッシュローンなどです。

提案：

• プロジェクト当事者は、クロスチェーンメッセージ送信プロトコルを設計する際にセキュリティを最優先にします。

5 ウォレット

ブロックチェーン ウォレットはブロックチェーンの重要な部分であり、ユーザーがビットコイン、イーサリアム、その他のトークンなどのさまざまな暗号通貨を安全に保管、送受信できるようにするデジタル通貨の保管および管理ツールです。ウォレットのセキュリティは、ブロックチェーン業界で常にホットなトピックであり、ウォレットが攻撃されると、攻撃者はユーザーの秘密キーやニーモニックなどの機密情報を簡単に盗み、ユーザーのデジタル資産を掌握することができます。これらのデジタル資産の価値は非常に高くなる可能性があり、盗まれた場合の損失は非常に大きくなります。したがって、ユーザーのデジタル資産のセキュリティを最大限に高めるために、ユーザーが何らかのセキュリティ対策を講じることをお勧めします。

※2023年上半期、ウォレットが攻撃されたセキュリティインシデントの件数は他の種類に比べて比較的少なかったが、ウォレットが攻撃された際の損失は比較的大きかった。 Atomic および MyAlgo ウォレット事件と同様、2 つの攻撃により最大 1 億 900 万米ドルの損失が発生しました。

• インシデント数が 3 番目に多い種類はウォレットで、このカテゴリのセキュリティ インシデントのほとんどは秘密鍵とニーモニックの漏洩によるものです。

提案：

• 信頼できるウォレットプロバイダーを選択する: 評判が良く、確かな歴史を持つウォレットプロバイダーを選択してください。ユーザーデータや秘密鍵などの機密情報を保護する方法など、セキュリティ慣行を必ず理解してください。
• 2 要素認証を使用する: 2 要素認証を有効にして、アカウントのセキュリティを強化します。この方法では、ログイン時にユーザー名とパスワード以外に、確認コードや指紋認証などの別の認証形式を入力する必要があります。
• 秘密キーを共有しないでください: 秘密キーは、暗号通貨の所有権の証明です。ウォレットプロバイダーを含め、誰とも秘密キーを共有しないでください。誰かが秘密キーを要求した場合、それは詐欺である可能性が高くなります。
• ウォレットを定期的にバックアップする: ウォレットを定期的にバックアップすると、ウォレットが紛失したり攻撃された場合に暗号通貨を確実に回復できます。バックアップは、オフライン デバイスやハードウェア ウォレットなどの安全な場所に保管できます。
• 不明なメールやメッセージに注意してください: 不明な送信元からのメールやメッセージを開いたり、ダウンロードしたりしないでください。これらには、ウォレットの侵害につながる可能性のあるマルウェアまたはリンクが含まれている可能性があります。
• コンピュータとモバイル デバイスが安全であることを確認してください。デバイスを攻撃から保護するために、コンピュータとモバイル デバイスに最新のウイルス対策とセキュリティのアップデートが適用されていることを確認してください。
• 未知の Wi-Fi ネットワークは安全ではなく、ハッカーがウォレットを攻撃するために使用する可能性があるため、公共の場所では使用しないでください。
• ウォレット ソフトウェアが最新であることを確認してください: ウォレット ソフトウェアが最新であることを確認してください。新しいリリースには、ウォレットを攻撃から保護するのに役立つセキュリティ更新プログラムや修正が含まれていることがよくあります。
• ウォレットのセキュリティに関する最新情報を常に入手する: ウォレットのセキュリティに関する情報を常に入手し、適切な予防策を講じることができるように、ウォレットのセキュリティに関する最新情報やイベントについて常に最新の情報を入手してください。

2023 年上半期のブロックチェーン セキュリティ インシデントの分析と概要

2023年上半期のブロックチェーンセキュリティインシデントの整理を通じて、チェーン上のアプリケーションが半年で最も攻撃頻度が高く、損失額が最も大きかったタイプのプロジェクトであることが判明した。オンチェーンアプリケーション分野では合計157件のセキュリティインシデントが発生し、そのうち32件が契約の脆弱性に基づく攻撃でした。

頻繁なセキュリティインシデントに直面して、開発者はさらにセキュリティコーディングに従い、契約コードを監査し、成熟したセキュリティライブラリを使用してユーザーの権利を保護する必要があり、スマートコントラクトを使用するユーザーも慎重に契約を選択し、使用前に契約を注意深く確認する必要があります。コードとセキュリティについては、監査のために専門のセキュリティ会社を選択してください。セキュリティインシデントが発生した場合、ユーザーができることは非常に限られており、継続的にセキュリティ意識を高め、脆弱性を事前に発見し、解決し、予防策を講じることによってのみ、攻撃を可能な限り回避することができます。

このレポートに記載されている情報は、参考および調査のみを目的としており、公的情報源から得た情報であり、著者は正確性と完全性を検証するために最善を尽くしていますが、その正確性と完全性を保証することはできず、いかなる責任も負いません。情報の使用または信頼、損失または損害に対する責任。このレポートは、特定のブロックチェーン プロジェクトや暗号通貨投資に対する推奨や勧告とみなされるべきではなく、読者は独自の調査と意思決定を行う必要があります。このレポートの内容は、読者の判断や意思決定に代わるものではなく、記載されている状況の持続や実現を保証するものでもありません。