制作|オーキークラウドチェーン研究所
著者|****マシュー・リー
7月31日、Curveはプラットフォーム上で、Vyper 0.2.15のステーブルコインプールがコンパイラの脆弱性により攻撃されたと発表した。具体的には、リエントリーロック機能が無効化されているため、ハッカーは簡単にリエントリー攻撃を仕掛けることができます。つまり、攻撃者に単一のトランザクションで特定の機能を実行させることができます。 Curve の一部のファンド プールでは古いバージョンのコンパイラが使用されており、ハッカーに攻撃の機会を与えています。
(リエントランシー攻撃は、Vyper の特性とスマート コントラクトの不適切な記述によって引き起こされる一種の脆弱性です。これまでに何度も発生しています。Okey Cloud Chain のセキュリティ チームは、以前にこのようなケースについて詳細な分析を行っています。) をクリックしてください。原文を読む」を参照してください。そのため、この記事では攻撃の詳細については説明しません)
その直後、他の多くのプロジェクトが攻撃を受けたと発表し、NFTプレッジプロトコルJPEG'd、レンディングプロジェクトAlchemixFiおよびDeFiプロトコルMetronomeDAO、クロスチェーンブリッジdeBridge、Curveメカニズムを使用したDEX Ellipsisはいずれも巨額の損失を被った。 。
しかし、7 月 30 日の時点で、一部のプロジェクト関係者は潜在的な攻撃の脅威をすでに認識していました。 Alchemixを例に挙げると、30日に資産が移管され、8000ETHの移管に成功しましたが、資産移管の過程でAMO契約の残り5000ETHが攻撃者によって盗まれたままでした。
画像ソース: OKLink Explorer
他のプロジェクト関係者も、AAVE が Curve の融資を禁止したり、Alchemix が AMO が管理する流動性を Curve プールから削除したり、Metronome がメインネット機能を直接停止したりするなど、いくつかの措置を講じています。
Curveがハッキングされたのはこれが初めてではない。トップのDefiプロジェクトとしてハッカー攻撃を免れないわけではない。一般のプロジェクト関係者はハッカー攻撃と契約防御にもっと注意を払うべきである。
**それでは、攻撃側のために、プロジェクト当事者はどのような準備をすることができますか? **
OKLink チームは、異常な動作をするアドレスとのやり取りを防ぐために、オンチェーン ラベリング システム** を通じて黒歴史のあるウォレットを事前に特定することをプロジェクト パーティ** に推奨しています。 Curve の攻撃者のアドレスの 1 つは悪い記録を持っており、以下の図に示すように OKLink によって記録されました。
画像出典: OKLink Chainelligence Pro
その行動パターンもある程度常識を超えており、以下の図に示すように、取引件数が100件を超える日が3日も存在します。
-dd1a6f-1c6801)
画像出典: OKLink オンチェーン AML
**プロジェクト当事者は守備面でどのように防御しますか? **
上記のインシデントの分析に基づいて、プロジェクト当事者がこのようなインシデントに対処する際に 2 つの問題を抱えていることがわかりました。
1. メンテナンス作業は実施されていません。ほとんどのプロジェクトはコードの作成と監査に細心の注意を払っていますが、メンテナンス作業は真剣に考慮されていません Vyper コンパイラのこの脆弱性は 2 年前に発見されましたが、攻撃を受けたプールでは依然として古いバージョンのコンパイラが使用されています。
2. コード テスト シナリオが単一すぎる。多くのテスト コードでは問題を実際にテストすることはできません。ファズ テストなどのより複雑なテスト方法を追加し、ハッカーの攻撃経路、攻撃の複雑さ、機密性、完全性などの多面的にテストを実行する必要があります。
実際には、盗まれた資金のほとんどを取り戻すのは困難です。下の図はハッカーが転送した資金の所在を示しており、盗まれたETHは転送されておらず、アドレスもエンティティに関連付けられていないことがわかります。
アドレス 0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (2,879.54 ETH が返還されました) など、一部のアドレスはエンティティに関連付けられており、同様のアドレスはエンティティに関連付けられており、警察に電話してエンティティと交渉することで資金を回収できます。
このインシデントに対処する正しい方法は、OKLink または他の技術サービス プロバイダーの早期警告および追跡機能を使用し、その後の降水アドレスの資金移動を待って、さらなる措置を講じることです。ただし、最善の方法は、業界が協力してセキュリティ インシデントに基づいた対応メカニズムを開発し、異常な行為をより適切に取り締まることができるようにすることです。
リエントラント攻撃などのセキュリティインシデントは必ず発生しますので、上記の攻守両面の取り組みに加え、プロジェクト当事者は緊急時の対応策を立てる必要があります。ハッカーによる攻撃を受けた場合に最もタイムリーに対応できるため、プロジェクト関係者やユーザーの損失を軽減できます。 Vyper の寄稿者らは、Vyper のような公共製品については、主要な抜け穴を見つけるために 公共のインセンティブを強化する必要があるとも提案しました。 OKLinkは、ブラック/グレーアドレスからの資金追跡を容易にするために、一連のセキュリティ対応基準をできるだけ早く確立することを求めています。
OKLink 製品がハッカーを防ぎ、そのような事件の攻撃側と防御側で資金を追跡する役割を果たすのと同じように、プロジェクト当事者は、プラットフォームのセキュリティ モジュールをより迅速に構築する際に、サードパーティのテクニカル サービス プロバイダーがもたらす付加価値を考慮する必要があります。プロジェクトのセキュリティの要塞を構築することをお勧めします。
*Okey Cloud Chain の Raymond Lei 氏と Mengxuan Ren 氏もこの記事に寄稿しました。 *
3k 人気度
5k 人気度
30k 人気度
496 人気度
94k 人気度
27k 人気度
26k 人気度
7k 人気度
14k 人気度
カーブはセキュリティインシデントに深く関わっているが、ハッカーを防ぎ資金を追跡するための「攻撃と防御のメカニズム」をどのように確立するか?
制作|オーキークラウドチェーン研究所
著者|****マシュー・リー
7月31日、Curveはプラットフォーム上で、Vyper 0.2.15のステーブルコインプールがコンパイラの脆弱性により攻撃されたと発表した。具体的には、リエントリーロック機能が無効化されているため、ハッカーは簡単にリエントリー攻撃を仕掛けることができます。つまり、攻撃者に単一のトランザクションで特定の機能を実行させることができます。 Curve の一部のファンド プールでは古いバージョンのコンパイラが使用されており、ハッカーに攻撃の機会を与えています。
(リエントランシー攻撃は、Vyper の特性とスマート コントラクトの不適切な記述によって引き起こされる一種の脆弱性です。これまでに何度も発生しています。Okey Cloud Chain のセキュリティ チームは、以前にこのようなケースについて詳細な分析を行っています。) をクリックしてください。原文を読む」を参照してください。そのため、この記事では攻撃の詳細については説明しません)
その直後、他の多くのプロジェクトが攻撃を受けたと発表し、NFTプレッジプロトコルJPEG'd、レンディングプロジェクトAlchemixFiおよびDeFiプロトコルMetronomeDAO、クロスチェーンブリッジdeBridge、Curveメカニズムを使用したDEX Ellipsisはいずれも巨額の損失を被った。 。
しかし、7 月 30 日の時点で、一部のプロジェクト関係者は潜在的な攻撃の脅威をすでに認識していました。 Alchemixを例に挙げると、30日に資産が移管され、8000ETHの移管に成功しましたが、資産移管の過程でAMO契約の残り5000ETHが攻撃者によって盗まれたままでした。
画像ソース: OKLink Explorer
他のプロジェクト関係者も、AAVE が Curve の融資を禁止したり、Alchemix が AMO が管理する流動性を Curve プールから削除したり、Metronome がメインネット機能を直接停止したりするなど、いくつかの措置を講じています。
攻撃側と防御側の両方からハッカーの攻撃を防ぐ方法**? **
Curveがハッキングされたのはこれが初めてではない。トップのDefiプロジェクトとしてハッカー攻撃を免れないわけではない。一般のプロジェクト関係者はハッカー攻撃と契約防御にもっと注意を払うべきである。
**それでは、攻撃側のために、プロジェクト当事者はどのような準備をすることができますか? **
OKLink チームは、異常な動作をするアドレスとのやり取りを防ぐために、オンチェーン ラベリング システム** を通じて黒歴史のあるウォレットを事前に特定することをプロジェクト パーティ** に推奨しています。 Curve の攻撃者のアドレスの 1 つは悪い記録を持っており、以下の図に示すように OKLink によって記録されました。
画像出典: OKLink Chainelligence Pro
その行動パターンもある程度常識を超えており、以下の図に示すように、取引件数が100件を超える日が3日も存在します。
画像出典: OKLink オンチェーン AML
**プロジェクト当事者は守備面でどのように防御しますか? **
上記のインシデントの分析に基づいて、プロジェクト当事者がこのようなインシデントに対処する際に 2 つの問題を抱えていることがわかりました。
1. メンテナンス作業は実施されていません。ほとんどのプロジェクトはコードの作成と監査に細心の注意を払っていますが、メンテナンス作業は真剣に考慮されていません Vyper コンパイラのこの脆弱性は 2 年前に発見されましたが、攻撃を受けたプールでは依然として古いバージョンのコンパイラが使用されています。
2. コード テスト シナリオが単一すぎる。多くのテスト コードでは問題を実際にテストすることはできません。ファズ テストなどのより複雑なテスト方法を追加し、ハッカーの攻撃経路、攻撃の複雑さ、機密性、完全性などの多面的にテストを実行する必要があります。
盗まれた資金を取り戻すにはどうすればよいですか?
実際には、盗まれた資金のほとんどを取り戻すのは困難です。下の図はハッカーが転送した資金の所在を示しており、盗まれたETHは転送されておらず、アドレスもエンティティに関連付けられていないことがわかります。
画像出典: OKLink Chainelligence Pro
アドレス 0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (2,879.54 ETH が返還されました) など、一部のアドレスはエンティティに関連付けられており、同様のアドレスはエンティティに関連付けられており、警察に電話してエンティティと交渉することで資金を回収できます。
画像出典: OKLink Chainelligence Pro
このインシデントに対処する正しい方法は、OKLink または他の技術サービス プロバイダーの早期警告および追跡機能を使用し、その後の降水アドレスの資金移動を待って、さらなる措置を講じることです。ただし、最善の方法は、業界が協力してセキュリティ インシデントに基づいた対応メカニズムを開発し、異常な行為をより適切に取り締まることができるようにすることです。
私たちへの警告
リエントラント攻撃などのセキュリティインシデントは必ず発生しますので、上記の攻守両面の取り組みに加え、プロジェクト当事者は緊急時の対応策を立てる必要があります。ハッカーによる攻撃を受けた場合に最もタイムリーに対応できるため、プロジェクト関係者やユーザーの損失を軽減できます。 Vyper の寄稿者らは、Vyper のような公共製品については、主要な抜け穴を見つけるために 公共のインセンティブを強化する必要があるとも提案しました。 OKLinkは、ブラック/グレーアドレスからの資金追跡を容易にするために、一連のセキュリティ対応基準をできるだけ早く確立することを求めています。
OKLink 製品がハッカーを防ぎ、そのような事件の攻撃側と防御側で資金を追跡する役割を果たすのと同じように、プロジェクト当事者は、プラットフォームのセキュリティ モジュールをより迅速に構築する際に、サードパーティのテクニカル サービス プロバイダーがもたらす付加価値を考慮する必要があります。プロジェクトのセキュリティの要塞を構築することをお勧めします。
*Okey Cloud Chain の Raymond Lei 氏と Mengxuan Ren 氏もこの記事に寄稿しました。 *