概要
🔹 厦門を拠点とするブロックチェーン セキュリティ企業である SlowMist によると、2012 年以降、27 兆米ドル以上の暗号資産が盗まれており、上位 3 種類の攻撃は詐欺、フラッシュ ローン攻撃、契約の脆弱性です。
🔹 Web3 のセキュリティ上の欠陥には、Web3 と Web 2.0 アーキテクチャの相互作用に起因するものもあれば、ブロックチェーンやその他の機能などのプロトコルの動作に固有のものもあります。
🔹 セキュリティ パッチの欠如によって引き起こされる多くの攻撃と多数の脆弱性により、スマート コントラクト セキュリティ サービスが生まれました。これらのスマート コントラクト サービスは、監視サービス、問題検出、リアルタイムのコントラクト イベント分析、およびアラートを提供します。
🔹 Web3 ファイアウォールとスマート コントラクト セキュリティ サービスは、悪意のあるトラフィックをフィルタリングし、スマート コントラクトを監査し、セキュリティ アラートと警告を提供することで、暗号資産セキュリティの欠陥を軽減します。
序章
注目を集める暗号資産詐欺の増加により、Web3 セキュリティ ソリューションの必要性が浮き彫りになりました。米国の Bill Murray や Seth Green をはじめ、4 月に貴重な Bored Ape Yacht Club NFT をフィッシング Web サイトに紛失した台湾の Mandopop センセーションの Jay Chou などの有名人が標的にされています。厦門に本拠を置くブロックチェーン セキュリティ企業である SlowMist によると、2012 年以降、27 兆米ドル以上の暗号資産が盗まれています。上位 3 つの攻撃は、詐欺、フラッシュ ローン攻撃、契約の脆弱性でした。長年にわたって多くのスマート コントラクト攻撃が発生し、被害者に多額の費用がかかりました。
一方、DAO と Parity Wallet のハッキングはよく知られています。DAO スマート コントラクトには、攻撃者がネットワークから資金を盗むことを可能にする欠陥が含まれていました。この障害により、ハッカーは残高が更新される前にスマート コントラクトから資金を要求することができました。
Web3 ファイアウォールとは?
Web 1.0 から Web 2.0 への切り替えにより、ユーザーと企業はいくつかの新しいセキュリティの脅威にさらされました。すべてのユーザーがコンテンツをインターネットに公開できるため、信頼されていない悪意のある入力によって、Web サイトの侵害、データの漏えい、データベースへの感染がより簡単になる可能性があります。人々が Web3 の新しい世界を探求し始めると、新たな一連のセキュリティの脆弱性が出現し、その中にはこれまでに遭遇したことがないものもあります。Web3 ファイアウォールは、この新しい領域で自社の製品やサービスを頻繁に狙うサイバー攻撃に対抗する企業を支援することを目的とした web3 ネットワーク セキュリティ デバイスです。
Web3 のセキュリティリスク
Web3 のセキュリティ上の欠陥には、Web3 と Web 2.0 アーキテクチャの相互作用に起因するものもあれば、ブロックチェーンやその他の機能などのプロトコルの動作に固有のものもあります。Web3 のセキュリティ リスクの例を以下に示します。
暗号資産化の欠如
Web3 は理論的には完全に分散化されており、ネットワークに接続されたノードはすべて、保存されたデータと直接やり取りできます。実際には、Web3 アプリケーションのフロントエンドは、ユーザー エンドポイントが簡単にやり取りできる Web 2.0 テクノロジに引き続き依存します。ほとんどの Web3 アプリ フロントエンドは、ビジネス ロジックとデータ ストレージのために Web3 バックエンドへの API クエリを使用します。
現在、多くの Web3 API クエリは暗号資産署名されていません。これにより、暗号資産化も署名もされていない HTTP Web 2.0 アプリを使用すると、ユーザーがデータ漏洩やパス上攻撃にさらされるのと同じように、ユーザーはパス上攻撃、データ傍受、およびその他の攻撃にさらされます。
2. スマート コントラクトのハック
スマート コントラクトには、他のコードと同様に、重大なセキュリティ上の欠陥があり、ユーザー データを公開したり、多くの場合、脆弱性に資金を提供したりする可能性があります。2021 年 12 月、スマート コントラクトの欠陥により、攻撃者は約 3,100 万ドルのデジタル通貨を盗むことができました。2022 年 5 月、TerraUSD アルゴリズムの欠陥により、暗号資産は約 500 億ドルの価値を失いました。
3. プライバシーに関する懸念
データベースへのアクセスを厳しく制限できる Web 2.0 モデルとは対照的に、ブロックチェーン上のデータは、接続された任意のノードから保存およびアクセスできます。保存されているデータによっては、セキュリティとプライバシーに関する多くの懸念が生じます。送信中に匿名化されていたとしても、調査によると、完全に匿名化されたデータはありません。
4. ブリッジおよびプロトコル攻撃
Web3 は完全にブロックチェーンに基づいているわけではありません。ブロックチェーンは、インターネットと同様に、互いの上に構築されたレイヤーで構成されています。その一例が、ブロックチェーン間の送金を可能にするプロトコルである「ブリッジ」の普及です。これらのプロトコルも攻撃に対して脆弱です。たとえば、2022 年 2 月、泥棒はワームホール ブリッジを使用して、約 3 億 2,000 万ドルの暗号資産を盗みました。
5. ウォレットとアカウントの盗難
メディアは、暗号資産や NFT ウォレットへの攻撃に関するニュースであふれています。これは、攻撃者がユーザーの秘密鍵へのアクセスを取得するか、ユーザーをだましてフィッシングでそれらを引き渡すことによって最も一般的に達成されます。これらの秘密鍵がユーザーのデバイスでローカルに保持されている場合、物理的に盗まれる可能性があります。
スマート コントラクトとスマート コントラクト セキュリティ サービスとは?
スマート コントラクトは、契約または合意の条件に従って、法的に関連するイベントおよびアクションを実行、制御、または文書化するように設計されたトランザクション プロトコルです。スマート コントラクトは、従来のシステムよりも多くの利点を提供しますが、攻撃者が脆弱性から利益を得ようとする機会にもなります。パブリック ブロックチェーンは、スマート コントラクトの保護の問題を悪化させます。通常、デプロイされたコントラクト コードは、セキュリティ上の欠陥にパッチを適用するために変更することはできません。また、スマート コントラクトから盗まれた資産は追跡が複雑で、ほとんどの場合、不変性のために取り返しがつきません。数値はさまざまですが、スマート コントラクトのセキュリティ上の欠陥によって盗まれたり失われたりする価値の総額は、10 億ドルを超えると推定されています。
これらの攻撃と、セキュリティ パッチの欠如によって引き起こされる多数の脆弱性により、スマート コントラクト セキュリティ サービスが生まれました。これらのスマート コントラクト サービスは、監視、問題検出、リアルタイムのコントラクト イベント分析、およびアラートを提供します。プロジェクト関係者が契約をアップグレードする必要がある場合、一部のスマート コントラクト セキュリティ サービスは、契約のアップグレードやクロスチェーン移行などの体系的な技術サポート ツールを提供します。
Web3 ファイアウォールとスマート コントラクト セキュリティ サービスが暗号資産セキュリティの欠陥を軽減する方法
Web3 ファイアウォールとスマート コントラクト セキュリティ サービスは、さまざまな方法で暗号資産セキュリティの欠陥を軽減します。
1. Web3 アプリケーションとインターネットの間のシールド:
Web3 ファイアウォールを展開すると、Web3 アプリケーションとインターネットの間にバリアが作成されます。プロキシ サーバーは仲介者を使用してクライアント マシンの ID を保護しますが、Web3 ファイアウォールはリバース プロキシの一種であり、クライアントがサーバーに到達する前にファイアウォールを通過することを要求することによって、サーバーを公開から保護します。
2. 悪意のあるトラフィックのフィルタリング:
Web3 ファイアウォールは、ポリシーと呼ばれる一連のルールに従って動作します。これらのポリシーは、悪意のあるトラフィックを除外することにより、アプリケーションの脆弱性から保護することを目的としています。
3. リスク アラートと警告:
Web3 ファイアウォールは、ウォレット プロバイダーとカストディアンがユーザーにリアルタイムの警告とトランザクション コンテキストを提供できるようにすることで、Web3 企業がサイバー攻撃に対抗するのを支援します。
4. スマート コントラクトのセキュリティ監査
他のソフトウェア アプリケーションと同様に、スマート コントラクトには、セキュリティ上の欠陥に対処するための特別な監査が必要です。スマート コントラクト セキュリティ サービスは、定期的なセキュリティ評価を実施し、コストのかかるエラーを回避し、契約が最適に機能していることを確認するために、この監査を実行します。
スマート コントラクトの監査は、コントラクトの基礎となるコードを 1 行ずつ徹底的に検査するものです。監査は、すべての潜在的な脆弱性を検出して排除し、信頼できる契約の相互作用を確認することを目的としています。
web3 ファイアウォールとスマート コントラクト セキュリティ サービス一覧
Blowfish
Blowfish は、web3 ファイアウォールおよびセキュリティ サービス プロバイダーであり、エンド ユーザーとブロックチェーンとのやり取りに関連するサイバーセキュリティ リスクに対処します。ブロックチェーン トランザクションの不透明性により、悪意のあるトランザクションが宇宙で増加しています。Blowfish は、署名してネットワークに送信する前に、ウォレット、カストディアン、および個々のユーザーに代わって提案されたトランザクションが悪意がないかスキャンし、ユーザーをフィッシング攻撃や悪意のあるまたは乗っ取られた dApps から保護できる追加のセキュリティ層を追加するサービスを開発しています。
2. Hacken
Hacken は、Web3 をより安全な場所にするために 2017 年に設立されたサイバーセキュリティ会社です。世界中の技術ビジネスや暗号資産コミュニティに、競争力のある専門的なサイバーセキュリティ サービスのスイートを提供しています。
3.サーティック
CertiK は、2018 年に設立された web3 およびスマート コントラクト セキュリティ サービス プロバイダーです。クラス最高のフォーマル検証と AI テクノロジを利用して、スマート コントラクト、ブロックチェーン、および Web3 アプリを保護および監視します。
4. OpenZeppelin
OpenZeppelin は、分散型アプリケーションの開発、自動化、および運用のためのセキュリティ製品を提供します。主要な暗号資産サイバーセキュリティ技術およびサービスプロバイダーの 1 つであり、最も人気のある DeFi および NFT プロジェクトから信頼されています。オープン エコノミーを保護するために 2015 年に設立された OpenZeppelin は、Coinbase、Ethereum Foundation、Compound、Aave、the graph などの主要な暗号資産組織の数百億ドルの資金を保護しています。
結論
Web3、スマート コントラクト、DeFi プロジェクトの数が増え続け、巨額の資金を管理しているため、セキュリティ対策が不可欠になっています。これらのスマート コントラクトは実用的で信頼できるものですが、徹底的に調査、監査、監視しないと、深刻なセキュリティ上の欠陥が生じる可能性があります。同様に、多くの Web3 API クエリは現在、暗号資産に署名されていないため、攻撃にさらされています。Web3 ファイアウォールとスマート コントラクト セキュリティ サービスは、悪意のあるトラフィックのフィルタリング、スマート コントラクトの監査、アラートと警告によって、これらの欠陥を軽減します。
著者:Gate.ioの研究者M. Olatunji
翻訳者:AkihitoY.
免責事項:
*この記事は研究者の意見を表すものであり、取引に関するアドバイスを構成するものではありません。
*本記事の内容はオリジナルであり、著作権はGate.ioに帰属します。転載が必要な場合は、作者と出典を明記してください。そうでない場合は法的責任を負います。