著者:Luccy、Kaori、コンパイラ:BlockBeats9 月 20 日、Balancer は新たな攻撃で 238,000 米ドルの損失を被りました。SlowMist Intelligence の分析では、これは BGP ハイジャック攻撃であると考えられています。ウォレットをリンクするために Web サイトにアクセスすると、フィッシング攻撃が引き起こされます。その後、SlowMist MistTrack は、Balancer への攻撃料はフィッシング グループ Angel Drainer からのものであると述べました。現在、Balancer は、フロントエンドのセキュリティが回復し、Balancer DAO の制御下に戻っていると述べています。BGPHijacking は、BGP ルート ハイジャックとも呼ばれ、フロントエンド攻撃方法です。 BGP ハイジャッキング攻撃では、攻撃者は偽の BGP ルーティング更新情報を送信して、他のルータにトラフィックを間違った方向に向けさせ、それによってトラフィックを盗聴、改ざん、または中断します。簡単に言うと、この Web サイトは取引を承認するスパムメールを送信することができ、悪意のある契約によってユーザーの資金がすべて流用される可能性がありました。これは、これまでの攻撃との最大の違いでもあり、バランサーのフロントエンドを標的とした攻撃でした。****OpCo、Orb Collective、および成長戦略の転換にかかるコスト****この攻撃の前に、Balancer には別の重要なニュースがあったことは注目に値します。4 月 14 日、Balancer のサービスプロバイダーである Balancer OpCo は、エンジニア 2 名を解雇し、運営予算を削減したと発表しました。Balancer OpCo は、Balancer Foundation の完全子会社であり、管理および運用サービス プロバイダーに加え、フロントエンド開発およびエンジニアリング ワークフローを Balancer に提供します。昨年8月から今年6月まで、Balancer DAOではBalancer OpCoが関与する7件の提案が行われ、そのうち5件が承認されたが、チーム資金に加えて、OpCoが個人販売に取り組むことができるよう、追加の25万BALがOpCoに送金された。トークンの。現在、来年のプラットフォーム運営資金の提案も予備協議の段階にある。しかし、この契約の焦点がユーザー インターフェイスとマーケティングの改善に移ったため、Balancer OpCo の人員は削減されました。この目的を達成するために、Balancer は専用のマーケティング チームである Orb Collective を設立します。このチームは、Balancer がプラットフォーム ユーザーと連携して、パートナーシップ、マーケティング、統合、設計、人事管理の取り組みを通じて Balancer プロトコルの開発を促進するためのメカニズムについて議論する責任を負います。バランサープロトコルの世界的な採用率。昨年 8 月に Orb Collective が正式に発足し、チームは新しいプロモーション戦略でも「暗号化された Twitter ネイティブ サウンド」を使用すると述べました。今年4月、Balancer GovernanceがOrb Collectiveの予算からOpCoに割り当てる目的で、2023年第2四半期からCertoraのスマートコントラクト監査契約を更新する提案の中でOrb Collectiveの財務計画を更新したことは注目に値する。バランサーユーザーの資金の安全性。しかし、Balancer DAO コミュニティ メンバーのほぼ 80% が、スマート コントラクト監査を実施するという Balancer OpCo Limited の提案を拒否し、7 つの提案のうち拒否された唯一の提案となりました。同月、コインデスクは「戦略転換に伴い、DeFiプロトコルバランサーは予算と従業員数を削減」というタイトルの記事を掲載し、バランサーが戦略的調整を行うと述べた。記事によると、Balancer OpCoチームは今年4月、20人以上が参加したDiscord通話で、同社がエンジニア2人を解雇し、営業予算を削減したことを明らかにした。オーブ・コレクティブのジェレミー・ムシギ最高経営責任者(CEO)は「私たちはバランサー・ブランドに新たなビジョンを持っており、非常に興奮している」と述べ、「同時に、適切な人材を確実に確保するためにマーケティング・チームにいくつかの変更を加えている」と語った。 . この新しいビジョンを実行するために。」 2022 年の第 3 四半期に、Orb チームはソーシャル プラットフォーム、ポッドキャスト、コミュニティ関係維持などにおける Balancer の発言力を拡大することを期待して、76,000 米ドルの運営予算を申請しました。第 4 四半期の予算要求案には、弱気市場のサイクルにより、Orb チームの運営予算はわずか 48,000 ドルとなり、ほぼ 50% 減少したと記載されています。同時に、これはブランド戦略の刷新であり、今後はユーザーインターフェースとマーケティングの改善に注力すると述べた。このニュースが発表されたとき、Balancer は市場からの圧力にさらされていましたが、おそらくこのフロントエンドの人員削減が攻撃者に別の方法を見つける機会を与えたのでしょう。今回、Balancer のフロントエンドが攻撃されましたが、それをスマートコントラクト監査提案の失敗とフロントエンド要員の解雇と関連付けないことは困難です。おそらく戦略変更は誤りであり、資金が逼迫しているときには弱気市場のサイクルが真実であり、収益は増加し、支出は削減される。****集中型フロントエンドの隠れた懸念****この攻撃は、Balancer チーム内の内部的な理由に加えて、DeFi プロトコルの一元化されたフロントエンドに関するコミュニティの懸念も引き起こしました。DeFi 開発の歴史の中で、フロントエンド攻撃によって損失が発生するケースはまれにありますが、2021 年 12 月には、分散型組織 Badger DAO の Web サイトのフロントエンド コードに一連の悪意のあるコードが注入されました。必要に応じて、トランザクションを確認し、トークンを転送します。 2022 年 5 月、クロノスのエコロジー DEX MM.Finance がフロントエンド攻撃を受け、ハッカーが DNS の脆弱性を利用してユーザーから 200 万ドル以上の資産を盗みました。分散型フロントエンドが最後に大規模に議論されたのは、Tornado Cash が認可され、フロントエンドが禁止されたためです。しかし現在、フロントエンドもセキュリティ上のプレッシャーにさらされています。 ENS がフロントエンド攻撃の解決策になるのではないかと考える人もいますが、ENS のドメイン名解決は「集中型」であるため、「分散化に対する攻撃」に対抗するためにこれを使用するのはあまり現実的ではありません。DeFi 契約は一度展開すると改ざんしたり撤回したりすることはできず、理論的には人間の介入の対象にはなりませんが、フロントエンドの大部分は依然として従来のアーキテクチャを通じて実装されています。Web ページ自体は常に進化し、発展していますが、ドメイン名、ネットワーク サービス、サーバー、ストレージ サービスなどには多くの潜在的な脅威が存在します。同時に、フロントエンドへの攻撃は開発者によって簡単に無視されることがよくあります。現在、DeFi OGであるBalancerもフロントエンド攻撃を受けており、コミュニティ内では分散型フロントエンドの構築を求める声が上がっています。しかし、そのような声はそれほど多くはなく、UniswapやTornado Cashのフロントエンド禁止による熱に比べれば、我々一般ユーザーがフロントエンドをハッキングするために何をすべきかは、現状ではまだ継続的に模索されている必要がある。暗号化業界。
バランサー攻撃: セキュリティ チームの人員削減と一元化されたフロントエンドに対する懸念
著者:Luccy、Kaori、コンパイラ:BlockBeats
9 月 20 日、Balancer は新たな攻撃で 238,000 米ドルの損失を被りました。SlowMist Intelligence の分析では、これは BGP ハイジャック攻撃であると考えられています。ウォレットをリンクするために Web サイトにアクセスすると、フィッシング攻撃が引き起こされます。その後、SlowMist MistTrack は、Balancer への攻撃料はフィッシング グループ Angel Drainer からのものであると述べました。現在、Balancer は、フロントエンドのセキュリティが回復し、Balancer DAO の制御下に戻っていると述べています。
BGPHijacking は、BGP ルート ハイジャックとも呼ばれ、フロントエンド攻撃方法です。 BGP ハイジャッキング攻撃では、攻撃者は偽の BGP ルーティング更新情報を送信して、他のルータにトラフィックを間違った方向に向けさせ、それによってトラフィックを盗聴、改ざん、または中断します。簡単に言うと、この Web サイトは取引を承認するスパムメールを送信することができ、悪意のある契約によってユーザーの資金がすべて流用される可能性がありました。
これは、これまでの攻撃との最大の違いでもあり、バランサーのフロントエンドを標的とした攻撃でした。
OpCo、Orb Collective、および成長戦略の転換にかかるコスト
この攻撃の前に、Balancer には別の重要なニュースがあったことは注目に値します。4 月 14 日、Balancer のサービスプロバイダーである Balancer OpCo は、エンジニア 2 名を解雇し、運営予算を削減したと発表しました。
Balancer OpCo は、Balancer Foundation の完全子会社であり、管理および運用サービス プロバイダーに加え、フロントエンド開発およびエンジニアリング ワークフローを Balancer に提供します。昨年8月から今年6月まで、Balancer DAOではBalancer OpCoが関与する7件の提案が行われ、そのうち5件が承認されたが、チーム資金に加えて、OpCoが個人販売に取り組むことができるよう、追加の25万BALがOpCoに送金された。トークンの。現在、来年のプラットフォーム運営資金の提案も予備協議の段階にある。
しかし、この契約の焦点がユーザー インターフェイスとマーケティングの改善に移ったため、Balancer OpCo の人員は削減されました。この目的を達成するために、Balancer は専用のマーケティング チームである Orb Collective を設立します。このチームは、Balancer がプラットフォーム ユーザーと連携して、パートナーシップ、マーケティング、統合、設計、人事管理の取り組みを通じて Balancer プロトコルの開発を促進するためのメカニズムについて議論する責任を負います。バランサープロトコルの世界的な採用率。昨年 8 月に Orb Collective が正式に発足し、チームは新しいプロモーション戦略でも「暗号化された Twitter ネイティブ サウンド」を使用すると述べました。
今年4月、Balancer GovernanceがOrb Collectiveの予算からOpCoに割り当てる目的で、2023年第2四半期からCertoraのスマートコントラクト監査契約を更新する提案の中でOrb Collectiveの財務計画を更新したことは注目に値する。バランサーユーザーの資金の安全性。しかし、Balancer DAO コミュニティ メンバーのほぼ 80% が、スマート コントラクト監査を実施するという Balancer OpCo Limited の提案を拒否し、7 つの提案のうち拒否された唯一の提案となりました。
同月、コインデスクは「戦略転換に伴い、DeFiプロトコルバランサーは予算と従業員数を削減」というタイトルの記事を掲載し、バランサーが戦略的調整を行うと述べた。記事によると、Balancer OpCoチームは今年4月、20人以上が参加したDiscord通話で、同社がエンジニア2人を解雇し、営業予算を削減したことを明らかにした。
オーブ・コレクティブのジェレミー・ムシギ最高経営責任者(CEO)は「私たちはバランサー・ブランドに新たなビジョンを持っており、非常に興奮している」と述べ、「同時に、適切な人材を確実に確保するためにマーケティング・チームにいくつかの変更を加えている」と語った。 . この新しいビジョンを実行するために。」 2022 年の第 3 四半期に、Orb チームはソーシャル プラットフォーム、ポッドキャスト、コミュニティ関係維持などにおける Balancer の発言力を拡大することを期待して、76,000 米ドルの運営予算を申請しました。第 4 四半期の予算要求案には、弱気市場のサイクルにより、Orb チームの運営予算はわずか 48,000 ドルとなり、ほぼ 50% 減少したと記載されています。
同時に、これはブランド戦略の刷新であり、今後はユーザーインターフェースとマーケティングの改善に注力すると述べた。このニュースが発表されたとき、Balancer は市場からの圧力にさらされていましたが、おそらくこのフロントエンドの人員削減が攻撃者に別の方法を見つける機会を与えたのでしょう。
今回、Balancer のフロントエンドが攻撃されましたが、それをスマートコントラクト監査提案の失敗とフロントエンド要員の解雇と関連付けないことは困難です。おそらく戦略変更は誤りであり、資金が逼迫しているときには弱気市場のサイクルが真実であり、収益は増加し、支出は削減される。
集中型フロントエンドの隠れた懸念
この攻撃は、Balancer チーム内の内部的な理由に加えて、DeFi プロトコルの一元化されたフロントエンドに関するコミュニティの懸念も引き起こしました。
DeFi 開発の歴史の中で、フロントエンド攻撃によって損失が発生するケースはまれにありますが、2021 年 12 月には、分散型組織 Badger DAO の Web サイトのフロントエンド コードに一連の悪意のあるコードが注入されました。必要に応じて、トランザクションを確認し、トークンを転送します。 2022 年 5 月、クロノスのエコロジー DEX MM.Finance がフロントエンド攻撃を受け、ハッカーが DNS の脆弱性を利用してユーザーから 200 万ドル以上の資産を盗みました。
分散型フロントエンドが最後に大規模に議論されたのは、Tornado Cash が認可され、フロントエンドが禁止されたためです。しかし現在、フロントエンドもセキュリティ上のプレッシャーにさらされています。 ENS がフロントエンド攻撃の解決策になるのではないかと考える人もいますが、ENS のドメイン名解決は「集中型」であるため、「分散化に対する攻撃」に対抗するためにこれを使用するのはあまり現実的ではありません。
DeFi 契約は一度展開すると改ざんしたり撤回したりすることはできず、理論的には人間の介入の対象にはなりませんが、フロントエンドの大部分は依然として従来のアーキテクチャを通じて実装されています。Web ページ自体は常に進化し、発展していますが、ドメイン名、ネットワーク サービス、サーバー、ストレージ サービスなどには多くの潜在的な脅威が存在します。同時に、フロントエンドへの攻撃は開発者によって簡単に無視されることがよくあります。
現在、DeFi OGであるBalancerもフロントエンド攻撃を受けており、コミュニティ内では分散型フロントエンドの構築を求める声が上がっています。しかし、そのような声はそれほど多くはなく、UniswapやTornado Cashのフロントエンド禁止による熱に比べれば、我々一般ユーザーがフロントエンドをハッキングするために何をすべきかは、現状ではまだ継続的に模索されている必要がある。暗号化業界。