
Gleb Zykovは、の共同創設者兼最高技術責任者です。 HashEx、ブロックチェーンアドバイザリーおよびセキュリティ監査会社。
_____
最近の サイバー攻撃 MonoXファイナンス その結果、3,100万米ドルが盗まれました。これも、分散型ファイナンス(DeFi)プロトコルのセキュリティが不十分であることを示しています。 この最近のインスタンスをより多くのデータでバックアップするために、データ分析会社によって行われた2020年以降のDeFiでの不正と盗難に関するレポートの数値を見てみましょう。 楕円形。 レポートによると、2020年から2021年11月18日までにDeFiスペースから120億米ドルが盗まれ、2021年の未完の11か月間で105億米ドルがマークされました。
これらのデータは、DeFi自体の成長をほぼ反映しており、分散型ファイナンスにおけるセキュリティの重要性に関する明確なメッセージを、さまざまなDeFiプロトコルのすべての参加者とコミュニティに送信します。 DeFiは、ユーザーが資金をこのような高レベルのリスクにさらしている限り、集中型ファイナンスの持続可能な代替手段になることはできないため、業界が前進する上での最大の障害と見なしています。
この記事では、MonoX攻撃がどのように実現したかを説明し、DeFiでのセキュリティ監査の重要性と、プロジェクトの創設者とトレーダーがスマートコントラクトにロックされた資金を保護する方法について説明します。
MonoXスワップ攻撃の説明
MonoXはマルチブロックチェーン分散型取引所(DEX)であり、投資家やトレーダーが流動性を提供できるようにします。 イーサリアム(ETH) と ポリゴン ((MATIC)ブロックチェーン。 このタイプのDeFiプロトコルは、コードの複雑さのレベルが単一のブロックチェーンに展開されているDeFiプロトコルのレベルよりも高いため、サイバー脅威に対して最も脆弱であることがわかっています。 ただし、MonoX Financeからのユーザー資金の損失につながったエクスプロイトは、かなり初歩的なものです。
詐欺師は、MonoX FinanceのネイティブMONOトークンをベースとして使用し、単一のスワップ操作で資産を見積もることができるバグを使用しました。 したがって、これにより、実際の流動性なしにMONOの価格を引き上げることができました。 それを行った後、彼らは単にMONOをWETH、LINK、IXM、MIM、DUCK、GHSTなどの資産と交換し、流動性プロバイダーにほとんど価値のないデジタルトークンを残しました。
MonoXファイナンスはによって監査されていました ハルボーン と ペックシールドただし、監査レポートで特定された問題の広範なリストがありました。 これは、プロジェクトのコードベースのコードの品質が低いことを示しており、バグを無視しないようにするのがはるかに困難になっています。 したがって、主要なエクスプロイトを見つけることは監査人の側の失敗であるだけでなく、開発者がスマートコントラクトの読みやすいコードを提供することの失敗でもあります。
この文脈で、プログラマーの義務である読みやすいコードを書くことがいかに重要であるかを強調したいと思います。 また、監査人に渡す前に、開発者チームは、すべてのスマートコントラクトが期待どおりに機能することを確認するために、独自の機能テストを行う必要があります。
資金を節約するのに役立つもの
監査がDeFiスマートコントラクトをより安全にするための手口であることは間違いありません。 しかし、スマートコントラクトに閉じ込められたお金を盗難から救う他の方法は何ですか? 投資家と所有者には異なる戦術があります。
DeFi創設者向け
マルチシグニチャまたはDAO
コミュニティの信頼を得るために、正直なDeFiプロジェクトは、プロジェクト内からお金が盗まれるなど、あらゆる種類の敷物が引っ張られないようにするための措置を講じる必要があります。 この点で最初に行うことは、複数のチームメンバー間でスマートコントラクトの所有権を分散させることです。 これは、スマートコントラクトで変更またはコマンドを実行するには、いくつかの秘密鍵からの認証が必要になることを意味します。
DAO(分散型自律組織)は、ラグプルの脅威を最小限に抑えるもう1つの方法です。 DAOを使用すると、DAOのスマートコントラクトを変更するために必要となるトークンを介して投票権を分配できます。 変更に投票するには、トークン所有者は投票が終了するまでスマートコントラクトでトークンをロックする必要があります。 したがって、プロジェクトの創設者が圧倒的多数のトークンを持っていない場合、彼または彼女は単独で契約を変更することはできません。
コマンド実行遅延
別のオプションは、スマートコントラクトで秘密鍵を使用して入力されたコマンドのコマンド実行の遅延を有効にすることです。 コマンドをすぐに実行することはできませんが、一定の遅延が発生した後にのみ実行できます。 スマートコントラクトに資金を預け入れたユーザーは、キューに入れられたトランザクションを監視でき、手遅れになる前にコミュニティに警告することができます。
投資家向け
チームを確認してください
ソーシャルメディアでチームメンバーを検索し、彼らの個人データがさまざまなソーシャルネットワーク間で一致するかどうかを確認します。 チームが彼らの本当のアイデンティティを明らかにしない場合、それは懸念の合図である可能性があります。
サイトを見る
プロジェクトのサイトは見栄えがよく、その上のテキストは読み書きができる必要があります。 プロジェクトのドキュメントについても同じことが言えます。適切に構造化され、適切な言語で記述されている必要があります。 サイトの平凡な言葉は心配の大きな理由です。
監査レポートを見る
プロジェクトの監査についての言及がない場合、それは深刻な問題であり、潜在的な投資家にすぐに警告する必要があります。 監査レポートへのリンクがある場合は、それらを調べて、監査人がプロジェクトのコードについて何を述べているかを確認する必要があります。 彼らがコードの品質について何を書いたかを確認することも重要です。
結論
DeFiプロジェクトがより複雑になるにつれ、コードにバグが存在する可能性が高くなりましたが、それは監査の手順には影響していません。 それでも、作業の90%以上は、コードの手動検証です。 新しいタイプのエクスプロイトのみが、以前行っていたことに加えて追加のコードチェックを必要とします。
投資家はまた、独自のデューデリジェンスを行う必要があります。プロジェクトのサイト、ドキュメント、および監査レポートを最低限必要に応じて調査します。 この金融市場がユーザーの資金に非常に高いレベルの脅威をもたらす限り、DeFiに対処する際には、警戒を怠らないことも非常に重要です。
____
もっと詳しく知る:
– 2億米ドルの損失後に暗号トレーダーを補償するためにビットマートをハッキング
– AnubisDAOは、投資家の資金を6,000万米ドル失った後、「重大な間違い」を指摘
– Bitcoin&Crypto Wallet Hygiene 101
– 今年の春に少なくとも6,000のCoinbaseクライアントが奪われ、Exchangeは損失を払い戻します
– ハッキングされたバルカンフォージドは、影響を受けたユーザーの「大多数」に資金を提供したと述べています
– アナグマDAOは攻撃で1億2000万米ドル以上を失ったようです