ほんの数日前、Velocore取引所はブロックチェーンのセキュリティ侵害により約1,000万ドルの損失を被り、暗号通貨業界を脅かすセキュリティ危機の深刻さを浮き彫りにした。
もちろん、これは私たちが中央集権型取引所と分散型取引所に関して耳にした最初のセキュリティインシデントではありません。多くのハッキングや非ハッキングの戦術によって、特に昨年の14億ドルの災害で、暗号通貨業界は数十億ドルを奪われました。
こうしたセキュリティ侵害は発生しており、暗号通貨取引所が盲点をカバーし、予防措置を講じるためにリソースの大部分を割くようになるまで、今後も発生し続けるでしょう。
現在、暗号通貨取引所への攻撃のほとんどは、中央集権型取引所や DEX など、次のいずれかの方法で行われています。
スマートコントラクト
連鎖する脆弱性
価格操作
コーディングエラーと欠陥のあるスマートコントラクト
スマート コントラクトは革新的な性質を持っていますが、絶対確実というわけではありません。最もよく知られているケースの 1 つは、再入攻撃のシナリオです。このシナリオでは、攻撃者は最初の呼び出しが完了する前に関数を複数回呼び出すことができます。
多くのシナリオにおいて CEX にも同じことが当てはまり、これはセキュリティ強化の余地がまだあることを示しています。
全体的に、ほとんどの問題は次の 2 つの原因から発生します。
コーディングの穴
セキュリティ侵害に関して、人々は通常、コーディングの不具合よりもはるかに素晴らしいものを期待します。コーディングは非常に基本的なものですが、それでもあらゆる暗号プロジェクトの基礎です。コードの小さな間違いが最終的な収益に大きな影響を与える可能性があります。良い例の 1 つは、コードのセキュリティホールが原因でハッカーに 5,000 万ドルの損害を与えた 2016 年の DAO 攻撃です。
適切な監査の欠如
多くのプロジェクトは外部の機関による徹底的な監査を受けずに稼働するため、脆弱性の影響を受けやすくなります。2022 年に Ronin Network が攻撃を受けた際、Axie Infinity はほぼ破壊され、173,600 イーサリアムと 2,550 万 USDC、つまり約 7 億ドルが盗まれました。
連鎖する脆弱性
取引所とプロトコルの連携には、長所と短所があります。機能が追加されるほど、接続はより複雑になります。1 つのプロトコルで 1 つの違反が発生すると、他のプロトコルにも問題が発生する可能性があります。これは、腐ったリンゴの状況に似ています。
相互運用性の危機と統合の不備
1 つのプロトコルに欠陥があると、他のプロトコルに連鎖的に影響が及ぶ可能性があります。これは、それらのプロトコルが相互に関連しているためです。2021 年の Cream Finance の侵害は、日和見的な攻撃者によって侵害された DeFi プロジェクトの 1 つにすぎませんでした。犯罪者は、Cream Finance ネットワークのセキュリティ ホールを利用して、他のネットワークから 1 億 3,000 万ドル以上の資産を盗みました。
同じシナリオは、CEX と、サードパーティの流動性サービスと提携する際のデューデリジェンスの欠如、または安全でないウォレットや支払いゲートウェイにもほぼ当てはまります。もちろん、集中監視によって多くの場合、損害を緩和することができます。
フラッシュローン
フラッシュローンでは、借り手はお金を一括返済する限り、担保を差し出す必要がありません。一部の悪質な行為者はフラッシュローンを利用して取引所の価格を人為的につり上げ、操作されやすい弱いプロトコルからお金を盗んでいます。
被害はDEXに限定されることが多いが、CEXでも同様の市場操作につながる可能性があり、規制当局の監視と評判への大きな打撃をもたらすことになる。
価格操作
不正行為は、あらゆる金融市場において最も基本的な手口です。中央集権型取引所も分散型取引所も例外ではありません。これらの取引所は、次のようなさまざまな方法で被害を受けています。
フロントランナー
利益を狙う鋭い目を持つハッカーは、プールに眠っている儲かる取引を見つけ出し、ボットを使って「フロントラン」、つまり高手数料で取引を実行する可能性があります。良い例の 1 つが Merlin DEX です。ハッカーは LP トークンをコントロールするために、取引所に侵入し、スマート コントラクトの欠陥を利用しました。偽のトークンをプールに流し込むことで、ハッカーは取引所から本物のトークンを流出させ、取引所に多大な損失をもたらしました。
スプーフィングとレイヤリング
スプーファーは、需要と供給を偽装して市場価格を操作します。スプーファーは、実行するつもりのない大量の注文を出し、注文が成立する前にキャンセルします。同様の戦術はレイヤリングと呼ばれ、トレーダーは異なる価格レベルで複数の注文を出し、市場の厚みが十分であるという誤った印象を与えます。
解決策は何ですか?
暗号通貨取引所はユーザーのセキュリティ強化に常に取り組んでいますが、ハッカーに追いつくのは困難な場合があります。しかし、いくつかの対策を講じることでフレームワークを強化することができます。
定期的な監査とバグバウンティインセンティブ
スマート コントラクトなどの DeFi アプリが悪用される前に、そのアプリのセキュリティ上の欠陥を見つけるには、徹底したコード監査が不可欠です。経験豊富なプログラマーでも、セキュリティ上の欠陥や不具合を見逃す可能性があります。信頼できるサードパーティのセキュリティ企業による徹底した監査が役立ちます。
バグ報奨金制度は、セキュリティ専門家やホワイトハットハッカーに脆弱性の開示を促し、DeFi 業界にとって極めて重要です。ローンチ後のセキュリティ強化に加え、これらの手順はセキュリティ標準を定期的に更新および改善するための土壌を整えます。
注文対取引比率
トレーダーは、実際の取引に対する注文の公正な比率を維持することが求められており、CEX はこの比率を監視して強制する役割を担っています。その後、設定された注文対取引比率を超えたトレーダーにペナルティを課す必要があります。これにより、人々が計画せずに注文を出しすぎるのを防ぐことができます。
レイヤー2対策
レイヤー 2 テクノロジを使用することで、ガス価格とトラフィックを削減できます。ただし、DEX は、これらのソリューションによってオンチェーン アクティビティが安全でなくなったり、新たな脆弱性が生じたりしないように注意する必要があります。
DeFi保険
DeFi に保険をかけることは、ハッカー、エクスプロイト、その他の運用上の問題によってユーザーが金銭を失うのを防ぐため、非常に重要です。
DeFi プラットフォームはさまざまな脅威に対する保護を提供するため、ユーザーは安心して、従来の銀行システムに代わる魅力的な選択肢とみなすことができます。
透明性と報告
トレーダーは、包括的な市場データと洞察にアクセスできれば、公正な行動と不公正な行動をより適切に識別できます。トレーダーが市場操作や疑わしい活動を匿名で開示できるようにします。
こうした活動の背後にいる犯罪者は、技術革新に関しては常に取引所より一歩先を進んでいます。悪質な行為者から顧客を守るために、これらのプラットフォームは継続的に新しいセキュリティ対策を開発し、実装する必要があります。
暗号通貨取引所の強化:課題と戦略的ソリューションに関する記事が最初にMetaverse Postに掲載されました。