DeFiプロジェクトやブロックチェーンの台頭で懸念されるセキュリティリスク

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2022-05-27 13:43

 DeFi(分散型金融)とブロックチェーンのプロジェクト数はここ1年で大幅に増加した。これらがまずます普及することで、サイバー攻撃者の関心も集めることになった。2021年の関連被害総額は少なくとも18億ドル(約2300億円)だったと推定されている。

These are the flaws that let hackers attack blockchain and DeFi projects
提供: Blue Planet Studio / Shutterstock

 ブロックチェーンは、改ざんや変更が困難な方法で取引を記録する「デジタル台帳」技術だ。暗号資産(仮想通貨)の取引などの管理のほか、スマートコントラクト、金融や法的契約の円滑化で多大な可能性が期待されている。

 近年、ブロックチェーンをベースに台頭したのがDeFiだ。DeFiによる金融商品やシステムは従来の銀行や金融サービスを代替するものだが、その運営には分散型技術やスマートコントラクトが欠かせない。

 このDeFiをはじめ、NFT(非代替性トークン)や暗号資産は、このところサイバー攻撃者の格好のターゲットとなっている。攻撃者は、脆弱性やプログラミングの問題を悪用するだけではなく、フィッシングキャンペーンを実施して、被害者からデジタル資金を盗み取る。

 Microsoftは5月に入り、「cryware」という用語を紹介した。自己管理型のノンカストディアル暗号資産ウォレット、ホットウォレットから直接データを収集、抽出する情報窃盗マルウェアだと説明している。

 セキュリティコンサルティング企業Bishop Foxのサイバーセキュリティ研究チームは、2021年に発生した重要なDeFi攻撃案件の分析結果を発表している。推定損失総額は18億ドルに達するという。

 分析の対象となったのは合計65件の重要「イベント」で、そのうち90%超は「洗練されていない攻撃」によるものだったという。

Number of Attacls on DeFi Project Per Month
提供:Bishop Fox | CryptoSec

 チームによると、DeFiプロジェクトをターゲットに、1カ月に平均5件の重大なサイバー攻撃が発生し、5月と12月にピークがあった。

 2021年の主な攻撃ベクトルは以下の通り。

  • 51% スマートコントラクトの脆弱性
  • 18% プロトコルまたは設計の問題
  • 10% ウォレット侵害
  • 6% ラグプル
  • 4% キーリーク
  • 4% フロントエンドのハッキング
  • 3% アービトラージ(裁定取引)
  • 2% 暗号資産関連の脆弱性
  • 2% フロントランニング(事前に知った取引情報を利用した自己売買)

 「ほとんどのケースで、攻撃はスマートコントラクトやプロトコルのロジックそのものの脆弱性に端を発していることが分かる」とチームは指摘している。「これらは最近生まれたばかりの技術であり、セキュリティ対策の実装における事後的な知見が足りない部分もあるだろう。その点を考慮すれば、驚くべき結果ではない」

 スマートコントラクトを狙った脆弱性について見ると、攻撃の種類で多かったのは、よく知られた脆弱性の悪用だった。フォークに含まれる脆弱性を狙った攻撃、洗練された脆弱性の悪用がこれに続く。

 こういった攻撃の多くは、本番環境移行前の堅牢な監査とテストで回避できる可能性がある。フォークを使用している開発者も、DeFiプロジェクトのソースコードに影響を与えるセキュリティ問題がないか、コードベースを定期的に確認する必要があるだろう。

 Bishop Foxは、「手っ取り早く大金を手に入れたい泥棒にとって、現在DeFiが格好のターゲットであることは間違いない」とコメントした。「DeFi技術の歴史がまだ浅いこと、そして彼らにとってお金がすべてであることを考えれば当然だろう」

 「テクノロジーの前進や開発において、1度も問題に直面したことのない方がまれだ。ウイルスが広がる可能性をあまり検討せずに初期のコンピューターがネットワーク化されたのと同じように、DeFiの開発者は、保護よりもアルゴリズムの革新性を追求する傾向がある」

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]