2018年はブロックチェーンが最も急速に発展した年で、世界の仮想通貨の市場価値総額は一時8,000億米ドル近くに達しました。しかし、無限の抜け穴により、2018 年はハッカーが最も蔓延した年となりました。
頻発するセキュリティインシデントはブロックチェーンの健全な発展を大きく妨げ、ユーザーに多大な損失をもたらしただけでなく、多くのプロジェクトの「終了」にも直結しました。
2018 年にどのようなセキュリティ インシデントが発生しましたか?
概要
概要
2018 年には、セキュリティ インシデントの数と引き起こされた損失の両方が指数関数的に増加しました。
図 1: セキュリティ インシデントによる経済的損失の傾向 (10,000 米ドル)、出典: bcsec
図 2: 重大なセキュリティ インシデントの数に関する統計、出典: bcsec
Besecの統計によると、2018年には総額20億ドル以上が盗まれ、大規模事件の発生件数は130件(3日平均)を超え、ブロックチェーン利用者やプロジェクト関係者は30万人にとって「現金自動預け払い機」となっている。世界中のハッカー。
図 3: 2018 年のセキュリティ インシデントによる損失の統計、出典: 31QU
最初のレベルのタイトル
スマートコントラクトのセキュリティ
現在、ブロックチェーン全体は依然として低迷しているが、スマートコントラクトの開発は非常に安定しており、チーターブロックチェーンセキュリティセンターのデータによると、イーサリアム上のスマートコントラクトの数は平均2,000以上増加している。過去 1 か月の 1 日あたり。
スマートコントラクトの脆弱性の数は少ないものの、発生する損失は莫大であり、これはSolidity言語の特性に関係しており、トークン発行を容易にするERC20プロトコルにも関係しています。
スマート コントラクトの脆弱性のトップ 10 の攻撃タイプは次のとおりです。リエントランシー攻撃、パーミッション制御、整数オーバーフロー、未チェック呼び出し戻り値、トランザクションシーケンス依存関係、タイムスタンプ依存関係、条件付き競合、ショートアドレス攻撃、予測可能なランダム処理など。
スマートコントラクトイベントの中で最も有名なものは米国のチェーンイベントです。 2018年4月22日午後、発行されてから約2か月しか経っていないBEC Meimi契約に大きなオーバーフローの脆弱性があり、ハッカーは契約の一括転送方式により無制限のトークンを生成し、大量のBECを流出させた。 2つのアドレスから転送され、売りの流れを引き起こした。その日、BECの値はほぼゼロでした。損失額は10億を超えた。
ブロックチェーンのせいで"コードがすべてです"その結果、スマートコントラクトのセキュリティ問題を完全に回避する効果的なセキュリティ保護方法は現時点では存在しません。
スマートコントラクトの開発に関して、シャオバオ氏は「アジャイル開発」の概念を放棄することを提案した。代わりに、スマート コントラクトの最初の設計とコーディングの際には、できる限り注意と考慮を払い、ゆっくりと系統的なアプローチでスマート コントラクトを開発してください。
開発マネージャーは開発者に過度のプレッシャーをかけるべきではありません (厳格な期限を設定するなど)。一般的に、追い出されたものには多かれ少なかれ問題が発生します。
さらに、チェーンに行く前に、スマートコントラクトのセキュリティ監査を実施する専門のブロックチェーンセキュリティ会社を見つけることが最も基本的かつ必要です。
以下は、2018 年のスマート コントラクトの大きなイベントと関連イベントの詳細です。
(1) 2018年8月22日、GOD.GAMEコントラクトがハッキングされ、GODスマートコントラクト上のイーサリアムの総額がゼロに戻った
(2) 2018 年 4 月 25 日、SmartMesh で大規模なセキュリティ侵害が発生し、1 億 4,000 万ドルの損失が発生しました。
最初のレベルのタイトル
交換セキュリティ
ネットワークセキュリティ会社CiferTraceが10月に発表した報告書によると、2018年最初の9か月間で取引所のハッキングを通じて盗まれた仮想通貨は9億2,700万米ドルに達し、これは2017年全体の2.5倍に達した。
韓国科学技術省の調査報告書には、「ほとんどの取引所にはセキュリティの抜け穴がある」と述べられている。
では、なぜ仮想通貨取引所にはこれほど多くのセキュリティ問題が存在するのでしょうか?
一方で、デジタル通貨の匿名性、非改ざん性、非監督性の特性により、資産の移転が便利になり、追跡可能性や検索が困難になります。一方で、デジタル通貨取引業界は、誕生してから日が浅く、急速に発展し、高い利益を上げているため、技術蓄積が不十分で情報セキュリティの構築が依然として軽視されているなど、多くの隠れた問題が存在しています。セキュリティホールが多く、比較的攻撃が容易です。セキュリティ システムをまったく備えていない、暗号化されたデジタル取引所もあります。
デジタル通貨取引所が直面するセキュリティ上の脅威には、主に次のようなものがあります。サーバー ソフトウェアの脆弱性、不適切な構成、DDoS 攻撃、サーバー側の Web プログラムの脆弱性 (技術的な脆弱性やビジネス ロジックの欠陥を含む)、オフィスのコンピューターのセキュリティ問題、内部関係者による攻撃など。
大規模で多くのユーザーが参加する取引の場合、ユーザーは偽のフィッシングサイトを通じて攻撃者に認証情報をだまし取られるという問題にも直面します。
こうしたセキュリティの脅威に対応するため、シャオバオは取引所がユーザーに直面する前に侵入テストやコード監査などのセキュリティサービスを実施し、システムのセキュリティの抜け穴を掘り出して修復することを推奨している。
さらに、取引所は、正式に雇用されたすべての従業員に対して必要な基本的な安全トレーニングを実施することをお勧めします。
最後に、デジタル仮想通貨を取引するネット民の皆様には、フィッシングの罠やウォレットに引っかからないよう、自信を持って「裸で行動」せず、セキュリティ知識を率先して学び、コンピュータや携帯端末のセキュリティソフトを使用することをお勧めします。盗難。
2018年に発生した仮想通貨取引所の盗難と関連事件の具体的な内容は以下のとおりです。
(1) 1月、日本最大のデジタル仮想通貨取引所であるコインチェックが5億3,400万米ドル相当のXEMを盗まれた。国内第2位の取引所であるコインチェックは、その後の公式記者会見で、XEMが盗まれたのは、XEMが保管されているホットウォレットの秘密鍵がハッカーによって盗まれたためであり、他の通貨は盗まれなかったと述べた。この出来事の影響を受けて、XEMはこの日9.8%下落した。
(2) 2月11日、イタリアの仮想通貨取引所BitGrailが攻撃され、1億7,000万ドル相当の仮想通貨NANOが盗まれた。
(3) 3 月 7 日、Binance がハッキングされ、ハッカーが Binance の一部のアカウントを操作し、これらのアカウントが保有するビットコインを売却し、VIA コインを購入したため、VIA が市場に対して上昇しました。バイナンスは異常な取引を中止したが、この事件は依然として市場の不安を呼び起こし、ビットコインはその後数日間で15%以上下落した。
(4) 4 月 1 日、Bit-Z はハッキングされましたが、資金は失われました。このため、Bit-Z はセキュリティ脆弱性の提出者に報酬を与えるために 10,000 ETH のセキュリティ基金を特別に設定しました。賞金は当時400万ドル相当だった。
(5) 4月13日、インドの3大ビットコイン取引所の1つであるコインセキュアは、同取引所から約330万ドル相当の438BTCが盗まれたと公式ウェブサイトで発表した。同取引所の最高セキュリティ責任者であるアミターブ・サクセナ氏が容疑者として指名された。これはインド最大の仮想通貨盗難事件である。
(6) 6 月 5 日、Bitfinex は「サービス拒否」攻撃を受け、Bitfinex は取引所上のすべての取引を直ちに停止しました。
(7) 6 月 10 日、韓国のデジタル暗号通貨取引所である Coinrail がハッキングされ、5,000 万ドル以上の損失が発生しました。 Coinrail の仮想通貨供給量の 70% は冷蔵保管庫に保管されており、盗まれた供給量の 3 分の 2 は回収されています。
(8) 6月20日、韓国の仮想通貨取引所Bithumbがハッキングされ、3,000万ドル相当の仮想通貨が盗まれたが、Bithumbのハッキングは今回で3回目となる。
以前、この取引所は2回の「ハッキング攻撃」を受けていた。
初回: 2017 年 4 月、Bithumb の従業員のコンピュータがハッキングされ、その結果 30,000 人以上のユーザーのデータが盗まれ、Bithumb は韓国の規制当局から 55,000 ドルの罰金を課されました。
2回目: 2017年12月22日、韓国のMBCテレビ局はセキュリティ会社を雇い、Bithumbを含む韓国の取引所5社のセキュリティテストを実施した。セキュリティ会社はBithumbを含む5つの取引所を「ハッキング」することに成功し、一部のユーザーデータと資金を入手した。雇われた「ハッカー」は「基本的なハッキングスキル」しか使っていないと主張した。
しかし、セキュリティ問題は取引所から十分な注目を集めず、2018年6月のハッキング事件につながった。
最初のレベルのタイトル
Dappのセキュリティ
スマートコントラクトと取引所はセキュリティ面で最も大きな打撃を受けている分野であり、2018年に大きな話題となったDAppsもハッカーの爪から逃れられず、全セキュリティインシデントの損失額は比較的低いものの、多発するセキュリティインシデントにより深刻な影響を受けている。 Dapp エコシステム、ランディングとアプリケーション。
Dapp.review の最新データによると、現在イーサリアム、EOS、TRON などのパブリック チェーン上で実行されている DApp の総数は 1,900 を超えています。
EOS は DApp エコロジカル構築の初期開発段階にあり、DApp 関連のセキュリティ問題が際限なく発生します。 12月の時点で、DAppの脆弱性による損失は395,000 EOSと13,000 ETHに達しています。両者のうち最も高い市場価値に基づいて計算すると、富の損失は2,700万米ドルを超えます。
2018年下半期はDAppのセキュリティインシデントが集中的に発生し、主にEOSメインネット上でハッキングインシデントが発生しました。攻撃方法も手口だらけで、乱数攻撃、シードの抜け穴、偽造通貨攻撃…。
EOSは大きな期待を集めているエンタープライズレベルのブロックチェーンオペレーティングシステムですが、なぜこれをベースにしたDAppsでハッキング事件がこれほど多発しているのでしょうか?
今年 5 月、EOS 創設者 BM は、EOS メイン ネットワークに貴重な脆弱性を提供すると 10,000 ドルの報奨金が支払われると述べたことがあります。報奨金命令が公布された後、「ジョン・ボッタリーニ」という名前のネチズンは、誰かがわずか 1 日で 8 件の脆弱性を発見し、8 万米ドルの報奨金を受け取ったと明らかにしました。これはまた、EOS メイン ネットワーク自体に多くのセキュリティ上の問題があることを十分に示しています。
実際、EOS 上の DApps に対する攻撃は、ますます専門的かつチームベースになってきています。
11月以降、EOSの3大クイズDAppsであるEOSDice、FFgame、EOS.WINが相次いで「乱数脆弱性」攻撃を受けている。事情に詳しい関係者によると、これらの攻撃は1人または同じチームによって行われたという。関係者によると、ハッカー取引所のアカウントは無事にロックされたという。
EOS ネットワークと比較して、イーサリアムのハッキング事件はわずかに少ないです。
2018年以降にDApp上で発生したハッキング事件とその具体的な内容は以下のとおりです。
(1) 7 月 25 日、人狼ゲーム (Fomo 3D の EOS 版) に「オーバーフロー」の脆弱性が発生し、ゲーム内で 60,686 EOS が損失しました。ハッカーの行動を仲裁した後、EOS コア仲裁フォーラム (EACF) は、ハッカーの EOS アカウント eosfomoplay1 を凍結する新しい仲裁命令を発行しました。
(2) 8 月 22 日、Fomo 3D (最後の勝者) がハッキングされ、10,469 ETH (約 300 万ドル相当) を失いました。 SECBIT研究所は、Fomo3D賞の受賞者がいくつかの「特別な攻撃手法」を採用していたことを初めて発表した。攻撃者は、パッケージングを優先させるために高額の料金を使って採掘者を引き付け、最終的にはより低いコストでブロックをブロックして、終了を早めた。勝利の可能性を高めます。
9 月 24 日、Fomo 3D ゲームの第 2 ラウンドが開始された後、ハッカーは同様の攻撃方法を使用し、3,264.668 イーサリアムの報酬を獲得しました。
(3) 8月27日、ラッキースの下で行われたじゃんけんゲームがハッキングされ、敗敗は不明。
(4) 9 月 2 日、EOS.win の「乱数」がハッキングされ、2000ESO が失われました。
(5) 9月10日、EOSBetはハッカーの攻撃を受けて合計4,000EOSを失いましたが、その4日後、EOSBetは再びハッカーの「虚偽通知」攻撃を受けて145,321EOSを失いましたが、その損失は回復しました。
(6) 9 月 12 日、LuckyGo は攻撃者 iloveloveeos (悪意のある契約) によって強制的にオフラインになりました。その夜、iloveloveeos は新しくリリースされたゲーム LuckyGo をすぐに攻撃しました。これら 2 つの攻撃は「乱数欠陥攻撃」に属します。
(7) 9 月 12 日、EOS Happy Slot がハッカーによって再プレイされ、5,000 EOS が失われました。 imeosmainnet のアカウントを持つハッカーが「リプレイ攻撃」を使用し、プロジェクト関係者は 5,000 EOS を失いました。
(8) 9 月 14 日、分散型取引所 Newdex がハッキングされました。ハッカーは偽造通貨を使用して交換エリアで本物の通貨を交換し、合計 11,803 EOS の利益を得ました。
攻撃プロセスは次のとおりです。攻撃者は発行部数 10 億 (EOS の発行部数は 10 億) の新しいトークンを作成し、「EOS」と名付けました。攻撃者は特別な方法を使用して、Newdex 上で 11,800 の偽 EOS を多数の同等の本物のコインと交換しました。
(9) 9 月 15 日、EOS.Win が偽造コインを使ったハッカーによる攻撃を受け、合計 4,000 枚以上の EOS が失われました。
11月11日には、EOS.Winも2度目の攻撃を受けた。この攻撃では、ハッカーは 1 分以内に EOS.WIN ゲーム コントラクト (eosluckydice) に対して合計 10 回の攻撃を開始し、9180 EOS 以上を獲得しました。
(10) 10 月 16 日、World Conquest は「納税ルール」を持ったハッカーによって攻撃され、他のプレイヤーの参加を拒否し、4555 EOS の利益を得ました。
(11) 10 月 26 日、EOS Royale はハッカーによる「乱数」攻撃を受け、10,800 EOS を失いました。そのプロセスは次のとおりです。ハッカーは乱数発生器を呼び出して前のブロックの情報を計算し、ゲームの乱数を取得します。これにより、EosRoyale ウォレットがクラッキングされ、60,000 米ドル相当の EOS トークンが盗まれます。
(12) 10 月 28 日、EOS ポーカーは「シードの脆弱性」を持つハッカーによって攻撃され、1374 EOS を失いました。
(13) 10 月 31 日、EOSCast は偽造コインを使用してハッカーによって攻撃され、その結果、72,912 個の EOS がハッカーによって転送されました。ゲームのルールによれば、ハッカーは 100、1,000、10,000 の偽 EOS トークンを使用して攻撃し、各攻撃で 198、9,800、19,600 EOS を取得できます。最後の攻撃中に、ゲーム参加者は異常な攻撃に気づき、ボーナスプールに残っていた 8,000 EOS を時間内に移しました。
ECAF(スマートコントラクトの仲裁権限を持つEOSコア仲裁委員会)はこの事件に即座に対応し、関係するアカウントを凍結する仲裁命令を出した。
(14) 11 月 4 日、EOSDice はスマート コントラクトが攻撃されたことを発表しましたが、その自動検出機能により、攻撃後、コントラクトは残りの資金を安全なアドレスに自動的に転送しました。このイベントにより、EOSDice は 2545 EOS を失いました。
(15) 11 月 8 日、FFgame はハッカー攻撃を受け、ハッカー アカウント jk2uslllkjfd が FFgame ゲーム コントラクト (eoswallet415) に対して 304 回もの攻撃を開始し、合計 1331.2922 EOS を獲得しました。
(16) 11 月 10 日、ハッカーは MyEosVegas ゲーム コントラクト (eosvegasjack) に対して 700 回以上の攻撃を開始し、9,000 EOS 以上を獲得しました。
(17) 11 月 26 日、競争力のある DApps が前例のない新しいタイプのロールバック攻撃に遭遇しました。
最初のレベルのタイトル
ウォレットのセキュリティ
デジタル通貨ウォレットはホットウォレットとコールドウォレットに分けられますが、コールドウォレットは秘密鍵がネットワークに触れないため比較的安全ですが、テクノロジーの急速な進歩により、ホットウォレットとコールドウォレットの両方が次々とハッカーによる攻撃を受けるようになりました。別の。
2018年、ウォレットのセキュリティによる損失額は約4,000万ドルでした。そのうちのほとんどのハッカーは、さまざまな手段でユーザーの秘密鍵を入手し、資産を窃取しました。別の部分は、ウォレットの設計上の欠陥によって引き起こされます。
ブロックチェーンは分散型であるため、ハッカーの目的はユーザーの秘密鍵を取得することですが、ユーザーが秘密鍵を適切に保管していないと、フィッシングメールやトロイの木馬ウイルスなどによる攻撃を受け、資産が破壊される可能性があります。盗難。
したがって、大多数のユーザーは、秘密キーを紙にコピーするか、物理的な方法で保管し、正しくコピーしてから決して忘れられない場所に保管し、インターネット上には決して保管しないことをお勧めします。秘密鍵とウォレットを組み合わせてください。さらに、ユーザーベースが大きく、セキュリティインシデントが少ないウォレットを選択するようにしてください。最後に、Web 上でもモバイル端末上でも、セキュリティ ソフトウェアをインストールする必要があり、「裸で実行してはなりません」 」。
ウォレットの設計上の欠陥も攻撃の引き金となる可能性があり、ひとたび発生するとその影響と損失は甚大になります。
たとえば、外部ウォレットが初めて実行されると、デフォルトでユーザー用に新しいウォレットが作成され、ウォレット ファイルが暗号化されずにシステム内にローカルに保存されますが、攻撃者は保存されたウォレット ファイルを読み取り、逆解析などの技術的手段を適用することができます。ウォレットのアルゴリズム ロジックを復元し、ユーザーのニーモニックやルート キーなどの機密データを直接復元します。
セキュリティ問題のこの部分については、ウォレット プロジェクトが、ユーザーに直面する前にセキュリティ監査を実施する専門のセキュリティ チームを見つける必要があることを提案することしかできません。
以下は、2018 年以降のウォレット関連のハッキング事件のリストです。
(1) 1月8日、Reddit Tipprユーザーがハッキングされ、数千BCH(ビットコインキャッシュ)が盗まれた。
(2) 1月17日、XLMウォレットが攻撃され、40万ドル以上のXLMが盗まれました。事件の発端は、ハッカーが BlackWallet.co の DNS サーバーを乗っ取ったことで、この攻撃により 70 万枚近く、40 万米ドル以上相当の XLM が盗まれたと推定されています。
(3) 1月22日、ハッカーがIOTAウォレットをハッキングし、400万米ドル相当のIOTAを盗み出しました。 CCN によると、その理由は、ユーザーが IOTA ウォレットの秘密鍵を生成するために使用した Web サイトがハッキングされたためです。
(4) 3 月 4 日、チタン合金ブロックチェーン (TBIS) はハッキングされ、1,870 万 BAR トークン (約 90 万ドル) が同社のウォレットから盗まれたとツイートしました。
(5) 4月17日、デジタル通貨投資家でYoutubeブロガーのイアン・バリナ氏が昨夜、ICOプロジェクトのライブコメント中にハッキングされ、ハッカーは彼のイーサスキャンウォレットから200万ドル以上のデジタル通貨を送金した。
(6) 4月25日、MyEtherWalletが乗っ取られ、合計約500ETHが流出しました。
(7) 6 月 6 日、日本の小売業者 Shopin の MEW ウォレットがハッキングされ、1,000 万ドル以上の暗号通貨が失われました。これらには、イーサリアム、レベルアップ、オーブ、ショッピンが含まれます。
(8) 8月15日、陝西省西安市の警察は、共謀して6億元相当の仮想通貨を盗んだ上級ハッカー容疑者3人を逮捕した。
盗難後の今年3月30日、被害者の張という姓の男性は、自分のコンピュータが不法に攻撃され、数億ドル相当の仮想通貨が略奪されたと警察に通報した。その後警察は捜査を開始し、今年 8 月 15 日には 3 人のハッカーが警察に逮捕されました。
(9) 9 月 25 日、EOS の大規模保有者である gm3dcnqgenes のアカウントが盗まれ、総額 209 万 EOS (約 1,080 万米ドル) が失われました。
(10) 10月22日、スイスのブロックチェーン企業Trade.ioは、コールドウォレットから750万ドル相当の5,000万TIOが盗まれ、そのうち130万TIOがKucoinとBancorの2つの取引所に送金されたと発表した。 KucoinはTIOの取引を停止し、BancorはTIOを永久に削除しました。
(11) 10 月 25 日、Reddit ユーザー アカウントがハッキングされ、ハッカーは財布から 14 ビットコイン (89,500 ドル)、22 ETH (4,400 ドル)、および約 1,170 万 COSS トークン (77 万ドル) を盗みました。これらの暗号通貨には価値があります。合計864,000米ドル。
2018 年全体のセキュリティ事件を振り返ると、ブロックチェーンは非常にリスクの高い業界であり、避けるべきであると悲観的な見方をする人もいます。
しかし、ハッカーは貴重なものを攻撃することだけに時間を費やしているため、セキュリティインシデントの頻繁な発生は、この業界に対する前例のない注目を横から反映していると考える人もいます。
Cheetah Blockchain Security Xiaobaoの見解では、2018年はハッカーが蔓延したが、世界中のブロックチェーンセキュリティ企業も静かに台頭しており、痛い代償を払っているため、業界全体でもセキュリティ投資と建設が増加しており、ユーザーの安全教育も徐々に行われているという。真剣に。ブロックチェーン業界の今後の活発な発展は依然として非常に有望です。
