a16z :Web3 セキュリティ分野における一般的な攻撃タイプと教訓の詳細解説
本文にはa16zによる現在のWeb3分野のセキュリティ脅威の状況に関する観察と、今後のweb3のセキュリティの発展方向に関する予測が含まれています。原作者:Riyaz Faizullabhoy と Matt Gleason
原标题:《Web3 Security: Attack Types and Lessons Learned》
編纂:胡韬,链捕手
web3 の多くのセキュリティは、ブロックチェーンが約束を果たし、人為的介入に対して弾力的である特別な能力に依存しています。しかし、最終性に関連する特徴------取引は通常不可逆的である------は、これらのソフトウェア制御ネットワークを攻撃者にとって魅力的なターゲットにしています。実際、ブロックチェーン------web3 の基盤となる分散型コンピュータネットワーク------とその伴う技術やアプリケーションが価値を蓄積するにつれて、攻撃者にとってますます夢のようなターゲットとなっています。
web3 は初期のインターネットのイテレーションとは異なりますが、以前のソフトウェアのセキュリティトレンドとの共通点を観察しています。多くの場合、最大の問題は以前と同じです。これらの分野を研究することで、守備者------開発者、安全チーム、または日常の暗号ユーザー------は、自分たち、彼らのプロジェクト、そして財布を潜在的な泥棒からより良く守ることができます。以下に、経験に基づいていくつかの一般的なテーマと予測を示します。
- 資金を追う
- 攻撃者は通常、投資収益を最大化することを目指します。彼らは、より多くの「総価値ロック」または TVL を持つプロトコルを攻撃するために、より多くの時間と労力を費やすことができます。
- 資源が豊富なハッカー組織は、高価値システムをより頻繁に狙います。新しい攻撃もこれらの貴重なターゲットに対してより頻繁に行われます。
- 低コストの攻撃(フィッシングなど)は決して消えず、私たちはそれらが予見可能な未来においてより一般的になると予想しています。
- 脆弱性の修正
- 開発者が長年の攻撃から学ぶにつれて、彼らは web3 ソフトウェアの状態を「デフォルトで安全」なレベルに引き上げるかもしれません。通常、これはアプリケーションプログラミングインターフェースやAPIを厳格にすることを含み、人々が誤って脆弱性を導入することを難しくします。
- セキュリティは常に進行中の作業ですが、守備者と開発者は攻撃者の低コストの果実の大部分を排除することで攻撃コストを引き上げることができます。
- セキュリティプラクティスの改善とツールの成熟に伴い、以下の攻撃の成功率は大幅に低下する可能性があります:ガバナンス攻撃、価格オラクルの操作、再入攻撃。(これらについては下記に詳述します。)
- 「完璧な」セキュリティを保証できないプラットフォームは、損失の可能性を減らすために脆弱性緩和策を使用しなければなりません。これは、コスト利益分析の「利益」または上昇の余地を減少させることで攻撃者を阻止する可能性があります。
- 攻撃の分類
- 異なるシステムへの攻撃は、それらの共通の特徴に基づいて分類できます。定義される特徴には、攻撃の複雑さ、攻撃の自動化の程度、そしてそれらを防ぐために取ることができる予防策が含まれます。
以下は、過去1年間に見られた最大のハッキング攻撃の攻撃タイプの非詳細リストです。また、私たちは今日の脅威の状況に関する観察と、今後の web3 セキュリティの発展の方向性についての予測も含めています。
APT操作:トッププレデター
通常「高度な持続的脅威(APT)」と呼ばれる専門的な対戦相手は、セキュリティの悪魔です。彼らの動機と能力は大きく異なりますが、彼らはしばしば裕福で執拗です。不幸なことに、彼らは常に周囲にいる可能性が高いです。異なる APT は多くの異なるタイプの操作を実行していますが、これらの脅威参加者は、しばしば企業のネットワーク層を直接攻撃する可能性が最も高いです。
私たちはいくつかの高度なグループが web3 プロジェクトを積極的に狙っていることを知っており、他にもまだ特定されていないグループがいると疑っています。最も注目される APT の背後にいる人々は、アメリカや欧州連合と引き渡し条約のない場所に住んでいることが多く、彼らの活動に対して起訴されるのが難しくなっています。最も有名な APT の一つは Lazarus で、これは北朝鮮の組織で、最近アメリカ連邦捜査局がこれまでで最大の暗号ハッキング攻撃を行ったとしています。
- 例:
- Roninバリデーターが攻撃された
- プロファイル
- 誰:国家、資金力のある犯罪組織、その他の高度な組織グループ。例としては、Ronin ハッカー(Lazarus、北朝鮮との広範な関係があります)。
- 複雑さ:高(資源が豊富なグループにのみ適用され、通常は起訴されない国にいます)。
- 自動化の可能性:低(依然として主にカスタムツールを使用した手動操作)。
- 未来の期待:APT がその活動を貨幣化したり、さまざまな政治目的を達成したりできる限り、彼らは活発であり続けます。
ユーザーをターゲットにしたフィッシング:ソーシャルエンジニアリング
フィッシングは広く知られた普遍的な問題です。フィッシング詐欺師は、インスタントメッセージ、電子メール、Twitter、テレグラム、Discord、ハッキングされたウェブサイトなど、さまざまなチャネルを通じて餌のメッセージを送信して獲物を捕まえようとします。スパムメールボックスを閲覧すると、パスワードなどの情報を漏洩させたり、財産を盗んだりするように誘導する試みが数百回見られるかもしれません。
現在、web3 は人々がトークンやNFTなどの資産を直接取引できるようにしており、フィッシング活動がそのユーザーをターゲットにしていることがほぼ即座に確認できます。知識や技術的専門知識がほとんどない人にとって、これらの攻撃は暗号通貨を盗む最も簡単な方法です。それでも、組織化されたグループにとっては、高価値のターゲットを追跡するための価値ある手段であり、また高度なグループにとっては、ウェブサイトの乗っ取りなどを通じて広範囲にわたる財布を空にする攻撃を行う手段でもあります。
- 例
- ユーザーを直接ターゲットにしたOpenSeaフィッシング活動
- フロントエンドアプリケーションを対象にしたBadgerDAOフィッシング攻撃
- プロファイル
- 誰:スクリプト初心者から組織化されたグループまでの誰でも。
- 複雑さ:低-中(攻撃は低品質の「スプレー式」または超ターゲット型、攻撃者がどれだけ努力したかによります)。
- 自動化の可能性:中-高(大部分の作業は自動化可能)。
- 未来の期待:フィッシングのコストは非常に低く、フィッシング詐欺師は最新の防御策に適応し、回避する傾向があるため、これらの攻撃の発生率が上昇すると予想しています。ユーザーの防御を改善するためには、教育と意識の向上、より良いフィルタリング、改善された警告バナー、より強力な財布管理が必要です。
サプライチェーンの脆弱性:最も弱い環
自動車メーカーが車両内の欠陥部品を発見した場合、彼らは安全リコールを発表します。ソフトウェアのサプライチェーンでも例外ではありません。
サードパーティのソフトウェアライブラリは大きな攻撃面をもたらします。web3 の前は、これは広範囲に影響を及ぼすシステム間のセキュリティの課題でした。例えば、昨年12月に影響を受けたウェブサーバーソフトウェアの log4j 脆弱性の悪用です。攻撃者は、インターネットをスキャンして既知の脆弱性を探し、利用できる未修正の問題を見つけます。
インポートされたコードはプロジェクト自身のエンジニアリングチームによって書かれたものではないかもしれませんが、そのメンテナンスは非常に重要です。チームは、ソフトウェアコンポーネントの脆弱性を監視し、更新を展開し、依存しているプロジェクトの動向と健康状態を把握する必要があります。web3 ソフトウェアの脆弱性の実際の即時コストは、これらの問題を責任を持ってユーザーに伝えることを困難にします。チームがどのように、またはどこで、ユーザーの資金をリスクにさらすことなくこれらの情報を相互に伝達するかについては、まだ結論が出ていません。
- 例
- Wormhole ブリッジ攻撃
- Multichain 脆弱性
- プロファイル
- 誰:APT、独立ハッカー、内部者などの組織化されたグループ。
- 複雑さ:中(技術的知識とある程度の時間が必要)。
- 自動化の可能性:中(故障したソフトウェアコンポーネントを自動スキャンすることができる;ただし、新しい脆弱性が発見された場合、手動で脆弱性攻撃プログラムを構築する必要があります)。
- 未来の期待:ソフトウェアシステムの相互依存性と複雑性の増加に伴い、サプライチェーンの脆弱性が増加する可能性があります。web3 セキュリティのために良好で標準化された脆弱性開示方法が開発されるまで、機会主義的なハッキング攻撃も増加する可能性があります。
ガバナンス攻撃:選挙の略奪者
これは暗号業界特有の問題の最初のものです。web3 の多くのプロジェクトにはガバナンスが含まれており、トークン保有者はネットワークを変更する提案を行い、投票することができます。これは継続的な発展と改善の機会を提供しますが、悪意のある提案を導入するためのバックドアも開き、実施されればネットワークを破壊する可能性があります。
攻撃者は、制御を回避し、リーダーシップを奪い、国庫を略奪するための新しい方法を設計しました。攻撃者は、大量の「フラッシュローン」を引き出して十分な投票を得ることができます。最近の DeFi プロジェクト Beanstalk での事件のように。提案を自動的に実行するガバナンス投票は、攻撃者によって利用されやすくなります。しかし、提案の策定に時間遅延がある場合や、複数の手動署名(例えば、マルチシグウォレットを通じて)が必要な場合、実施が難しくなる可能性があります。
- 例
- Beanstalk 資金移転事件
- プロファイル
- 誰:組織化されたグループ (APT) から独立ハッカーまでの誰でも。
- 複雑さ:プロトコルに応じて低から高まで。
- 自動化の可能性:プロトコルに応じて低から高まで。
- 未来の期待:これらの攻撃は、特に監視や提案策定プロセスに関連するガバナンスツールや基準に高度に依存しています。
価格オラクル攻撃:市場操縦者
資産の正確な価格設定は困難です。伝統的な取引分野では、市場を操縦して資産価格を人為的に引き上げたり引き下げたりすることは違法であり、その結果、罰金や逮捕される可能性があります。DeFi 市場では、ランダムなユーザーが「フラッシュトレード」で数億または数十億ドルを動かし、価格が突然変動する問題が顕著です。
多くの web3 プロジェクトは、リアルタイムデータを提供するシステムである「オラクル」に依存しています。これは、チェーン上では見つからない情報源です。例えば、オラクルは通常、2つの資産間の交換価格を決定するために使用されます。しかし、攻撃者はこれらのいわゆる真実のソースを欺く方法を見つけています。
オラクルの標準化が進むにつれて、チェーン外とチェーン上の世界の間により安全な橋が架けられ、市場が操縦の試みに対してより弾力的になることが期待できます。運が良ければ、いつの日かこの種の攻撃はほぼ完全に消えるかもしれません。
- 例
- Cream 市場操縦
- プロファイル
- 誰:組織化されたグループ (APT)、独立ハッカー、内部者。
- 複雑さ:中(技術的知識が必要)。
- 自動化の可能性:高(ほとんどの攻撃は自動化された問題を検出することを含む可能性があります)。
- 未来の期待:正確な価格設定方法が標準化されるにつれて、低下する可能性があります。
新しい脆弱性:未知の未知
「ゼロデイ」脆弱性攻撃------この名前は、発生時に公開されたのが0日間だけの脆弱性であることに由来します------は、情報セキュリティのホットな問題であり、web3 セキュリティの分野でも例外ではありません。これらは突然現れるため、最も防御が難しい攻撃です。
もしあれば、web3 はこれらの高価で労働集約的な攻撃を貨幣化しやすくしています。なぜなら、一度盗まれると暗号資金を取り戻すのが非常に難しいからです。攻撃者は、チェーン上のアプリケーションを実行するコードを注意深く研究するために多くの時間を費やし、彼らの努力を証明できるバグを見つけることができます。同時に、かつて新しいとされていた脆弱性が無防備なプロジェクトを悩ませ続けています;有名な再入攻撃は、初期のイーサリアムプロジェクト TheDAO で発生し、今でも他の場所で再発しています。
業界がこれらのタイプの脆弱性をどれだけ早く、または簡単に分類できるかは不明ですが、監査、監視、ツールなどのセキュリティ防御への継続的な投資は、攻撃者がこれらの脆弱性を攻撃しようとするコストを増加させるでしょう。
- 例
- Poly Network のクロスチェーン取引脆弱性
- Qubit の無限発行脆弱性
- プロファイル
- 誰:組織化されたグループ (APT)、独立ハッカー(可能性は低い)、内部者。
- 複雑さ:中-高(技術的知識が必要ですが、すべての脆弱性が人々が理解できないほど複雑ではありません)。
- 自動化の可能性:低(新しい脆弱性を発見するには時間と労力が必要であり、自動化される可能性は低いです。一度発見されると、他のシステムで類似の問題をスキャンするのは容易になります)。
- 未来の期待:より多くの注目がより多くのホワイトハットを引き寄せ、新しい脆弱性を発見するための「参入障壁」を高くします。同時に、web3 の採用が増えるにつれて、ブラックハットハッカーが新しい脆弱性を探す動機も増加しています。多くの他のセキュリティ分野と同様に、これはおそらく依然として猫とネズミのゲームになるでしょう。
