DeFi(分散型金融)とブロックチェーンのプロジェクト数はここ1年で大幅に増加した。これらがまずます普及することで、サイバー攻撃者の関心も集めることになった。2021年の関連被害総額は少なくとも18億ドル(約2300億円)だったと推定されている。
提供: Blue Planet Studio / Shutterstock
ブロックチェーンは、改ざんや変更が困難な方法で取引を記録する「デジタル台帳」技術だ。暗号資産(仮想通貨)の取引などの管理のほか、スマートコントラクト、金融や法的契約の円滑化で多大な可能性が期待されている。
近年、ブロックチェーンをベースに台頭したのがDeFiだ。DeFiによる金融商品やシステムは従来の銀行や金融サービスを代替するものだが、その運営には分散型技術やスマートコントラクトが欠かせない。
このDeFiをはじめ、NFT(非代替性トークン)や暗号資産は、このところサイバー攻撃者の格好のターゲットとなっている。攻撃者は、脆弱性やプログラミングの問題を悪用するだけではなく、フィッシングキャンペーンを実施して、被害者からデジタル資金を盗み取る。
Microsoftは5月に入り、「cryware」という用語を紹介した。自己管理型のノンカストディアル暗号資産ウォレット、ホットウォレットから直接データを収集、抽出する情報窃盗マルウェアだと説明している。
セキュリティコンサルティング企業Bishop Foxのサイバーセキュリティ研究チームは、2021年に発生した重要なDeFi攻撃案件の分析結果を発表している。推定損失総額は18億ドルに達するという。
分析の対象となったのは合計65件の重要「イベント」で、そのうち90%超は「洗練されていない攻撃」によるものだったという。
提供:Bishop Fox | CryptoSec
チームによると、DeFiプロジェクトをターゲットに、1カ月に平均5件の重大なサイバー攻撃が発生し、5月と12月にピークがあった。
2021年の主な攻撃ベクトルは以下の通り。
- 51% スマートコントラクトの脆弱性
- 18% プロトコルまたは設計の問題
- 10% ウォレット侵害
- 6% ラグプル
- 4% キーリーク
- 4% フロントエンドのハッキング
- 3% アービトラージ(裁定取引)
- 2% 暗号資産関連の脆弱性
- 2% フロントランニング(事前に知った取引情報を利用した自己売買)
「ほとんどのケースで、攻撃はスマートコントラクトやプロトコルのロジックそのものの脆弱性に端を発していることが分かる」とチームは指摘している。「これらは最近生まれたばかりの技術であり、セキュリティ対策の実装における事後的な知見が足りない部分もあるだろう。その点を考慮すれば、驚くべき結果ではない」
スマートコントラクトを狙った脆弱性について見ると、攻撃の種類で多かったのは、よく知られた脆弱性の悪用だった。フォークに含まれる脆弱性を狙った攻撃、洗練された脆弱性の悪用がこれに続く。
こういった攻撃の多くは、本番環境移行前の堅牢な監査とテストで回避できる可能性がある。フォークを使用している開発者も、DeFiプロジェクトのソースコードに影響を与えるセキュリティ問題がないか、コードベースを定期的に確認する必要があるだろう。
Bishop Foxは、「手っ取り早く大金を手に入れたい泥棒にとって、現在DeFiが格好のターゲットであることは間違いない」とコメントした。「DeFi技術の歴史がまだ浅いこと、そして彼らにとってお金がすべてであることを考えれば当然だろう」
「テクノロジーの前進や開発において、1度も問題に直面したことのない方がまれだ。ウイルスが広がる可能性をあまり検討せずに初期のコンピューターがネットワーク化されたのと同じように、DeFiの開発者は、保護よりもアルゴリズムの革新性を追求する傾向がある」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。