成都聯安は、世界のブロックチェーンセキュリティ状況を四半期ごとに調査するコラム「Security Research Quarterly」を新たに開始した。
最初のレベルのタイトル
1. 2022 年第 1 四半期のブロックチェーン セキュリティ エコロジーの概要
セキュリティインシデントによる損失は約12億ドルに達した
成都聯安 [Chain Bing-Blockchain Security状況認識プラットフォーム] が監視する統計によると、2022 年の第 1 四半期には、攻撃セキュリティインシデントによる損失は約12億米ドルに上り、前年同期(2021年第1四半期)の1億3,000万米ドルの約9倍となっています。これは、2021年のどの四半期の損失額よりも高い額です。
副題
チェーンプラットフォームの観点から
副題
資本の流れの観点から見ると
副題
攻撃方法の観点から見ると
副題
監査の観点から
副題
プロジェクトタイプから
最初のレベルのタイトル
2. 第 1 四半期に 30 件を超える典型的な攻撃インシデントが発生
クロスチェーンブリッジプロジェクトが多額の損失を被る
2022 年の第 1 四半期には、ブロックチェーン分野で約 30 件の典型的なセキュリティ インシデントが発生すると予想されます。損失総額はおよそ12億ドル、昨年の同時期と比較して823%増加。
ランキング上位20位の中で損失額が最も多かったRoninは6億2500万、これは Build Finance の最低額 (112 万ドル) に相当します。558回。
統計グラフからわかるように、Ronin と Wormhole の 2 つのプロジェクトの損失額は9億5000万ドル、2022年第1四半期の損失総額の80%を占めた。最初のレベルのタイトル
3. 攻撃されたプロジェクトの種類
DeFiは依然としてハッカーにとって注目の分野である
2022年第1四半期、ブロックチェーン分野では依然としてDeFiプロジェクトがハッカー攻撃の主要分野であり、合計19件のセキュリティインシデントが発生し、攻撃の約60%がDeFi分野で発生した。
さらに、2022年第1四半期にはNFTに対する攻撃が増加し、クロスチェーンブリッジプロジェクトが4回攻撃され損失が発生した最大9億5000万ドル最初のレベルのタイトル
4. チェーンプラットフォームの損失額
イーサリアムは損失の割合が最も高い
2022 年第 1 四半期、イーサリアムチェーンとソラナチェーンに対する攻撃による損失がトップ2にランクされ、それぞれ6億5,448万米ドルと3億7,400万米ドルとなった。
イーサリアムも最も頻繁に攻撃されており、攻撃頻度全体の 45% を占め、2 番目は BNB チェーンで 19% を占めています。
ソラナ チェーンに対する両方の攻撃は、ワームホールで 3 億 2,600 万ドル、カシオで 4,800 万ドルという巨額の損失をもたらしました。攻撃方法はどちらも同じ画像の説明。
チェーンプラットフォーム損失率
最初のレベルのタイトル
5. 攻撃手法の分析
契約悪用とフラッシュローンが最も一般的です
2022 年の第 1 四半期には、ブロックチェーン セキュリティ エコロジーの分野で、攻撃手法の約 50% がコントラクトの脆弱性エクスプロイトであり、攻撃手法の 24% がフラッシュ ローンです。
攻撃の 12% は秘密キーの漏洩、フィッシング攻撃、ソーシャル エンジニアリング攻撃でした。このタイプの攻撃は、プロジェクト当事者が秘密鍵を保持しなかったり、警戒心がなかったりすることが原因で発生します。
ハッカーによって悪用される契約の抜け穴の中で、最も一般的な抜け穴は次のとおりです。再入可能性の脆弱性 (30%)、 に続く不適切なビジネス ロジック (24%)、コール インジェクション攻撃 (18%)、不十分または不十分な検証 (18%)最初のレベルのタイトル
副題
背景:
背景:
詳細:
詳細:
画像の説明
アイテムコントラクトのbuyItem関数コード
コードの観点から見ると、コントラクトの buyItem 関数は、_quantity パラメーターを渡した後にトークンの種類を判断せず、_quantity と _pricePerItem を直接乗算して totalPrice を計算するため、safeTransferFrom 関数は ERC-20 トークンで支払うことができます。金額が 0 のみの場合は、コントラクトの buyItem 関数を呼び出してトークンを購入します。
提案:
提案:
このセキュリティインシデントの主な理由は、ERC-1155 トークンと ERC-721 トークンの混合使用によって引き起こされる論理的混乱です。ERC-721 トークンには数量の概念がありませんが、契約では数量を使用してトークンの購入価格が計算されます。最後に、「トークンの転送時に分類に関する議論もありません」で述べています。
副題
背景:
背景:
詳細:
詳細:
画像の説明
Build Finance が攻撃されるまでのプロセス
提案:
提案:
副題
背景:
背景:
詳細:
詳細:
画像の説明
提案:
提案:
1. 署名サーバーのセキュリティに注意してください。
2. 署名サービスがオフラインになった場合、ポリシーは適時に更新され、対応するサービス モジュールは閉じられ、対応する署名アカウント アドレスは破棄されたと見なされます。
3. 複数署名の検証中、複数署名サービスは論理的に分離され、署名の内容は独立して検証される必要があり、一部の検証者が検証されずに他の検証者に署名を直接要求することは起こり得ません。
最初のレベルのタイトル
7. 盗まれた資金の流れの分析
Tornado.Cash はハッカーの資金洗浄の常套手段である可能性がある
80% のケースで、ハッカーは通貨混合のために盗んだ資金を Tornado.Cash に転送します。成功後すぐまたは数日以内に送金されます。
ケースの 10% では、ハッカーは盗んだ資金を自分のアドレスに一時的に残し、資金を転送するまで数か月から数年待ちます。たとえば、昨年 12 月に盗難された AscendEX 取引所では、ハッカーは今年の 2 月と 3 月まで待って、資金洗浄を一括して開始しました。今年も、Ronin の攻撃者は依然として頻繁にマネーロンダリング活動を行っています。
少数のハッカーが盗まれた資金を返します。 4,800万ドルの資金を盗んだ後、カシオの攻撃者は10万ドル未満の口座に返金すると公言し、「私の目的は、お金を必要とする人からではなく、必要のない人からお金を巻き上げることだ」と主張した。人々はお金を受け取ります。」
最初のレベルのタイトル
八、プロジェクト監査状況分析
未監査のプロジェクト損失の 30% が全体の 60% を占めた
プロジェクト監査ステータス:
攻撃されたプロジェクトの 70% はサードパーティのセキュリティ会社によって監査されています。
未監査プロジェクトの 30% に相当する損失は 7 億 2,000 万米ドルに達し、第 1 四半期の損失総額の 60% を占めました。
画像の説明
最初のレベルのタイトル
9. 2022年第1四半期の結論
セキュリティインシデントが多発し、その被害額が大幅に増加
2022年第1四半期のブロックチェーン分野におけるセキュリティインシデント攻撃による損失は約12億米ドルに上り、これは2021年のどの四半期の損失額よりも大きい。クロスチェーンブリッジプロジェクトは巨額の資金が盗まれており、DeFiプロジェクトは最も頻繁に攻撃されており、今後これら2つの分野もハッカーの焦点となる可能性があります。
プロジェクト当事者は、資金の異常な状況にタイムリーに注意を払う必要があり、成都連安[チェーンビン-ブロックチェーンセキュリティ状況認識プラットフォーム]を使用すると、プロジェクト当事者とユーザーがリスクのある取引をタイムリーに発見し、迅速に対処することができます。対策。例えば、その後のさらなる大きな損失を避けるために、関連サービスを直ちに停止したり、ユーザーに認可を取り消すように通知したりするなどです。
プロジェクトのセキュリティ監査は依然として重要であり、攻撃手法の約 50% は契約エクスプロイトであり、これらの脆弱性のほとんどはセキュリティ監査を通じて早期に発見して修復できます。
