ハッキング

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

ハッキング

橙皮书

2020-04-21 04:09

本文约1868字，阅读全文需要约7分钟

この攻撃が暗号通貨サークルとDeFi業界の全員に教訓を与えることができることを願っています。

編集者注: この記事は以下から引用しましたオレンジブック (ID:chengpishu)、許可を得てOdailyによって転載されました。

編集者注: この記事は以下から引用しました

オレンジブック (ID:chengpishu)

、許可を得てOdailyによって転載されました。

少し前に、私は非常にシンプルなブログを立ち上げ、それを使って個人的な日記を書きたいと思いました。コードは非常にシンプルに書かれ、走り書きされて公開されています。 1 日後、Web サイトの Cookie に保存されているセッションは暗号化されておらず、フロントエンドで簡単に解析できることがわかりました。しかし、私が犯した間違いは、機密情報をセッションに保存することでした。

ソフトウェアの世界には数え切れないほどの落とし穴があります。最も単純な Web サイトを例にとると、SQL インジェクション、XSS 攻撃、サードパーティ Cookie の再利用を使用した CSRF 攻撃、画像やファイルのアップロードの脆弱性など、あらゆる種類の致命的なトリックが仕掛けられています。初心者がインターネット上に最初のウェブサイトを立ち上げるのは、初めて海に出て震える小さな帆船を操縦する船員と同じで、この先に無数の嵐、氷山、海の怪物が待ち伏せしていることを知りません。

ただ、ほとんどの場合、それらのリスクは幻想であるというだけです。もちろん、船の抜け穴は常に存在しますが、嵐や海の怪物が必ず現れるわけではありません。結局のところ、嵐や海の怪物も非常に忙しく、満載で戻ってくる漁船を転覆させたり、裕福な商人の貨物船を略奪したりして、攻撃する価値のあるものだけを攻撃します。

したがって、ソフトウェア工学は他の「ハード工学」とは違う、という人がいるのも不思議ではありません。土木工学は一歩間違えば建物が倒壊し、道路が崩壊し、人命や損失が発生します。ソフトウェアがハングアップしますか？ Web サイトをダウンさせるのは長くても半日程度です。

もちろん、この文は実際には間違っています。ソフトウェアが世界を飲み込んでいます。コードは世界中のあらゆる場所に存在します。今日のソフトウェアの脆弱性は、Web サイトやアプリだけでなく、飛行機やロケットの制御システムにも当てはまります。ボーイングは旅客機のソフトウェアをより安価なサードパーティに委託したが、これは最終的に航空宇宙の歴史に血塗られたバグを残した。

ディクストラも同様の話をしています[1]。 1969 年にアポロが月に着陸した後、彼はかつて宇宙船のソフトウェア担当者に、なぜこれほど多くのコードを正しく書けるのかと尋ねたところ、予想外にも相手は「打ち上げのわずか 5 日前に月面から軌道を計算した」と告白しました。コードにエラーが見つかりました。このコード行は、月の重力の方向を逆転させました。引き寄せられるはずだったものが、反発するものになってしまったのです。

軍事ソフトウェアと航空ソフトウェアに加えて、現在ではブロックチェーンという別の分野があります。通貨や金融と本質的に結びついている暗号は、ソフトウェアの世界においてコードセキュリティがいかに重要であるかを改めて感じさせます。

昨日は中国のDeFiサークルにとって暗い日だった。 dForce の融資プラットフォームである Lendf.Me がハッキングされ、2,500 万ドルの資産が失われました。ハッカーは ERC777 標準と Lendf.Me コントラクトの複合的な脆弱性を悪用し、再入攻撃を使用して何もないところから大量の imBTC を作成し、imBTC を借用しました。プラットフォームから他の通貨が略奪されました。 dForce 事件の前日、Uniswap は同様の手法による攻撃を受けたばかりでした。 ERC 777規格の脆弱性は2019年6月にOpenZeppelin社によって発表されましたが、注目を集めませんでした。

このイベントはDeFiの発展において重要なノードとなるでしょう。事件はまだ発展途上であり、資産を回収でき、ユーザーの損失を最小限に抑えられるかどうかは追跡調査の進捗次第だが、すでにさまざまな暗号通貨グループが議論を始めている。ここには教訓が多すぎます。多くの人は、DeFi に対する信頼を失い、DeFi が疑似概念であると考え、イーサリアム (これも主要なパブリックチェーン) が過去数年間に分散型金融に関して語ってきた話を疑うでしょう。また、「何か問題が起こった場合でもCeFiは少なくとも自分たちの権利を守ることができる」という理由から、DeFi製品に資産を投入することに消極的で、集中型の金融商品を選択することを好むユーザーも多い。

こうした口論は普通のことです。 DeFi はレゴでありハニーポットでもあり、現在から将来にわたって、少数のハッカーのグループが常にそれを見つめ、その中にある金貨を掘り出そうとするでしょう。あらゆる金融システムはこのようなプロセスを経る必要があり、そこから逃れることはできません。テストに合格して最終的に生き残ることができる人は、主流に移行し、より安定した金融インフラになる機会を得ることができます。