###DAOハッキング:スマートコントラクトの脆弱性により6000万ドルが失われました
2016年、暗号通貨の世界は最も重要なセキュリティ侵害の一つを目の当たりにしました。DAOがハッキングされ、約6000万ドル相当のEtherが盗まれました。この攻撃は、DAOのスマートコントラクトコードにおける重要な脆弱性、具体的には再入可能性の欠陥を利用し、ハッカーがシステムがアカウント残高を適切に更新する前に資金を繰り返し引き出すことを可能にしました。
脆弱性はスマートコントラクトの実行順序から生じました。この順序では、内部残高を更新する前にコードが資金を転送しました。これにより、悪意のある行為者が引き出し機能を再帰的に複数回呼び出す機会が生まれ、各反復で資金を奪われることになりました。
| DAOハックの影響 | 詳細 | |----------------|---------| | 資金が盗まれた | $60百万のイーサ | |脆弱性の種類 |リエントランシー攻撃 | |年度 |2016年度 | |解像度 |イーサリアムハードフォーク |
その余波は、イーサリアムコミュニティを不変性と回復に関する論争的な議論に追い込みました。最終的に、これは盗まれた資金を復元するためにイーサリアムブロックチェーンのハードフォークへとつながり、実質的にイーサリアムクラシック (オリジナルチェーン)とイーサリアム (フォークチェーン)を作り出しました。この画期的な瞬間は、ブロックチェーンのセキュリティ実践を根本的に変え、プロダクション環境へのデプロイ前に徹底的なスマートコントラクト監査の重要性を強調しました。 ###パリティウォレットの凍結:$300百万がコードの欠陥によりロックされています
2017年、Parityのマルチシグネチャウォレットシステムにおける壊滅的なコード脆弱性により、約3億ドル相当のEthereumが永久にロックされ、アクセス不可能になりました。この事件は、GitHubユーザー「devops199」がParity Walletライブラリ契約における重大な欠陥を引き起こし、7月20日以降に展開された500を超えるマルチシグネチャウォレットに影響を与えた際に発生しました。この技術的な災害は、誤ってコーディングされたスマートコントラクトに起因し、無許可のユーザーがライブラリ契約を制御し、その後「殺す」ことを可能にし、関連するすべての資金を実質的に凍結しました。
その脆弱性は、Parityが7月19日の以前のセキュリティ問題の修正を実施した直後に発生しました。この時、ハッカーはすでにマルチシグウォレットから3200万ドルを盗んでいました。残念ながら、修正されたコードにはもう一つの重大な弱点が含まれていました。それは、initWallet関数を呼び出すことによってライブラリコントラクトを通常のマルチシグウォレットに変換できる能力です。
| パリティウォレット事件 | 詳細 | |------------------------|---------| |事故発生日 |2017年11月号 | |凍結量 |3億ドル | | 影響を受けたウォレットの数 | 500+ | | 前回のハッキングの価値 | $32百万 (年7月2017) |
この事件は、ブロックチェーンのセキュリティ対策やスマートコントラクト監査手続きにおける重要な問題を浮き彫りにし、経験豊富な開発チームでさえ金融インフラを構築する際に壊滅的な脆弱性を見落とす可能性があることを証明しました。 ###中央集権型取引所のハッキング:さまざまなプラットフォームから10億ドル以上が盗まれる
中央集権型暗号通貨取引所は、壊滅的なセキュリティ侵害に直面し続けており、最近の事件は前例のない財務損失を浮き彫りにしています。2024年のBybitハッキングは、暗号史上最大のものであり、攻撃者は取引所から約15億ドルのデジタル資産を siphoning しました。この壊滅的な出来事は、中央集権型保管システムにおける持続的な脆弱性を例証しています。
歴史的データは、業界全体での十億ドル規模の強盗の問題のあるパターンを明らかにしています:
|年度 |主な情報 |盗難金額 | |------|----------------|---------------| |2024年度 |Bybitハック(largest history) |15億ドル | | 2024 | 総暗号プラットフォーム盗難 | $2.2 billion | |2011-2014年度 |Mt.Gox取引所の違反 |約5億ドル |
Chainalysisによると、暗号プラットフォームは過去10年間のうち5年間で10億ドル以上のデジタル資産が盗まれたと報告しています。2024年の盗まれた資金の前年同期比21.1%の増加は、攻撃の頻度と巧妙さの両方において警戒すべきエスカレーションを示しています。セキュリティ専門家は、北朝鮮のラザルスグループを含む国家スポンサーの関与があるとされるいくつかの主要な侵害を挙げており、同グループはBybit攻撃を計画し、盗まれた資金の少なくとも3億ドルを洗浄したとされています。これらの事件は、中央集権型取引所のセキュリティインフラに関する重要な懸念と、巧妙な犯罪組織に対するその魅力を浮き彫りにしています。 ###再入攻撃: 複数のDeFiプロトコルが数百万ドル分の被害を受ける
再入攻撃はDeFiエコシステムにおいて壊滅的な脆弱性として浮上し、プロトコルに何百万ドルもの盗まれた資金が失われています。最近の例では、Gnosisチェーン上のAgaveおよびHundred Financeプロトコルがフラッシュローンの再入攻撃によって合計1100万ドル以上の損失を被ったというこの脅威の深刻さが示されています。この悪用パターンは、数年にわたって業界全体にわたって大きな財務的損害を引き起こしています。
|大規模なリエントランシー攻撃 |年度 |財務上のインパクト | |--------------------------|------|------------------| | DAOハック | 2016 | イーサリアムのフォークにつながった | |クリームファイナンス |2021年度 |$ 130 +百万| | SIRENプロトコル | 2021 | $3.5百万 | |フェイ・プロトコル |- |大幅な損失 |
これらの攻撃は、スマートコントラクトの実行フローにおける基本的な脆弱性を悪用します。攻撃者は、状態更新が完了する前に再帰呼び出しを作成することによって、関数の逐次実行を操作します。最も危険な側面は、攻撃者が残高更新が発生する前に引き出し関数を繰り返し呼び出すことによって、資金を排出できる方法です。これらの悪用の継続的な蔓延は、スマートコントラクトの開発における持続的なセキュリティの課題を浮き彫りにしており、これらのリスクを軽減できるようなChecks-Effects-Interactionsや再入防止ガードといった予防パターンが利用可能であるにもかかわらずです。
22 人気度
13.2K 人気度
25.6K 人気度
308.3K 人気度
164.6K 人気度
暗号資産の歴史における最も壊滅的なスマートコントラクトの脆弱性は何ですか?
###DAOハッキング:スマートコントラクトの脆弱性により6000万ドルが失われました
2016年、暗号通貨の世界は最も重要なセキュリティ侵害の一つを目の当たりにしました。DAOがハッキングされ、約6000万ドル相当のEtherが盗まれました。この攻撃は、DAOのスマートコントラクトコードにおける重要な脆弱性、具体的には再入可能性の欠陥を利用し、ハッカーがシステムがアカウント残高を適切に更新する前に資金を繰り返し引き出すことを可能にしました。
脆弱性はスマートコントラクトの実行順序から生じました。この順序では、内部残高を更新する前にコードが資金を転送しました。これにより、悪意のある行為者が引き出し機能を再帰的に複数回呼び出す機会が生まれ、各反復で資金を奪われることになりました。
| DAOハックの影響 | 詳細 | |----------------|---------| | 資金が盗まれた | $60百万のイーサ | |脆弱性の種類 |リエントランシー攻撃 | |年度 |2016年度 | |解像度 |イーサリアムハードフォーク |
その余波は、イーサリアムコミュニティを不変性と回復に関する論争的な議論に追い込みました。最終的に、これは盗まれた資金を復元するためにイーサリアムブロックチェーンのハードフォークへとつながり、実質的にイーサリアムクラシック (オリジナルチェーン)とイーサリアム (フォークチェーン)を作り出しました。この画期的な瞬間は、ブロックチェーンのセキュリティ実践を根本的に変え、プロダクション環境へのデプロイ前に徹底的なスマートコントラクト監査の重要性を強調しました。 ###パリティウォレットの凍結:$300百万がコードの欠陥によりロックされています
2017年、Parityのマルチシグネチャウォレットシステムにおける壊滅的なコード脆弱性により、約3億ドル相当のEthereumが永久にロックされ、アクセス不可能になりました。この事件は、GitHubユーザー「devops199」がParity Walletライブラリ契約における重大な欠陥を引き起こし、7月20日以降に展開された500を超えるマルチシグネチャウォレットに影響を与えた際に発生しました。この技術的な災害は、誤ってコーディングされたスマートコントラクトに起因し、無許可のユーザーがライブラリ契約を制御し、その後「殺す」ことを可能にし、関連するすべての資金を実質的に凍結しました。
その脆弱性は、Parityが7月19日の以前のセキュリティ問題の修正を実施した直後に発生しました。この時、ハッカーはすでにマルチシグウォレットから3200万ドルを盗んでいました。残念ながら、修正されたコードにはもう一つの重大な弱点が含まれていました。それは、initWallet関数を呼び出すことによってライブラリコントラクトを通常のマルチシグウォレットに変換できる能力です。
| パリティウォレット事件 | 詳細 | |------------------------|---------| |事故発生日 |2017年11月号 | |凍結量 |3億ドル | | 影響を受けたウォレットの数 | 500+ | | 前回のハッキングの価値 | $32百万 (年7月2017) |
この事件は、ブロックチェーンのセキュリティ対策やスマートコントラクト監査手続きにおける重要な問題を浮き彫りにし、経験豊富な開発チームでさえ金融インフラを構築する際に壊滅的な脆弱性を見落とす可能性があることを証明しました。 ###中央集権型取引所のハッキング:さまざまなプラットフォームから10億ドル以上が盗まれる
中央集権型暗号通貨取引所は、壊滅的なセキュリティ侵害に直面し続けており、最近の事件は前例のない財務損失を浮き彫りにしています。2024年のBybitハッキングは、暗号史上最大のものであり、攻撃者は取引所から約15億ドルのデジタル資産を siphoning しました。この壊滅的な出来事は、中央集権型保管システムにおける持続的な脆弱性を例証しています。
歴史的データは、業界全体での十億ドル規模の強盗の問題のあるパターンを明らかにしています:
|年度 |主な情報 |盗難金額 | |------|----------------|---------------| |2024年度 |Bybitハック(largest history) |15億ドル | | 2024 | 総暗号プラットフォーム盗難 | $2.2 billion | |2011-2014年度 |Mt.Gox取引所の違反 |約5億ドル |
Chainalysisによると、暗号プラットフォームは過去10年間のうち5年間で10億ドル以上のデジタル資産が盗まれたと報告しています。2024年の盗まれた資金の前年同期比21.1%の増加は、攻撃の頻度と巧妙さの両方において警戒すべきエスカレーションを示しています。セキュリティ専門家は、北朝鮮のラザルスグループを含む国家スポンサーの関与があるとされるいくつかの主要な侵害を挙げており、同グループはBybit攻撃を計画し、盗まれた資金の少なくとも3億ドルを洗浄したとされています。これらの事件は、中央集権型取引所のセキュリティインフラに関する重要な懸念と、巧妙な犯罪組織に対するその魅力を浮き彫りにしています。 ###再入攻撃: 複数のDeFiプロトコルが数百万ドル分の被害を受ける
再入攻撃はDeFiエコシステムにおいて壊滅的な脆弱性として浮上し、プロトコルに何百万ドルもの盗まれた資金が失われています。最近の例では、Gnosisチェーン上のAgaveおよびHundred Financeプロトコルがフラッシュローンの再入攻撃によって合計1100万ドル以上の損失を被ったというこの脅威の深刻さが示されています。この悪用パターンは、数年にわたって業界全体にわたって大きな財務的損害を引き起こしています。
|大規模なリエントランシー攻撃 |年度 |財務上のインパクト | |--------------------------|------|------------------| | DAOハック | 2016 | イーサリアムのフォークにつながった | |クリームファイナンス |2021年度 |$ 130 +百万| | SIRENプロトコル | 2021 | $3.5百万 | |フェイ・プロトコル |- |大幅な損失 |
これらの攻撃は、スマートコントラクトの実行フローにおける基本的な脆弱性を悪用します。攻撃者は、状態更新が完了する前に再帰呼び出しを作成することによって、関数の逐次実行を操作します。最も危険な側面は、攻撃者が残高更新が発生する前に引き出し関数を繰り返し呼び出すことによって、資金を排出できる方法です。これらの悪用の継続的な蔓延は、スマートコントラクトの開発における持続的なセキュリティの課題を浮き彫りにしており、これらのリスクを軽減できるようなChecks-Effects-Interactionsや再入防止ガードといった予防パターンが利用可能であるにもかかわらずです。