オンチェーン資産の安全性：如何にして人的ミスによる巨額の損失を避けるか

分散型金融やNFTなどのブロックチェーンアプリケーションの台頭に伴い、ユーザーの資産は徐々に中央集権プラットフォームから分散型ウォレット、クロスチェーンブリッジ、貸出製品などのオンチェーンサービスに移行しています。しかし、このトレンドは頻繁なハッカー攻撃や資産の盗難事件を伴い、ブロックチェーンネットワークはしばしば「ハッカーのATM」と揶揄されています。

これらのセキュリティ事件の中には、相当数がコードの脆弱性によって引き起こされたものですが、人為的要因によるものも少なくありません。9月20日、ある有名な暗号市場メーカーが1.6億ドルの資産を盗まれたのは、典型的な人為的ミスのケースです。

1.6億ドルの損失はGas費の最適化ミスに起因します

事件発生後、そのマーケットメイカーの創業者はソーシャルメディアで、会社の中央集権型取引とOTC取引業務は影響を受けておらず、残りの資本は負債の2倍であると述べました。彼はまた、会社とマーケットメイキング契約を結んでいるユーザーの資金が安全であることを強調しました。攻撃を受けた90種類の資産の中で、名目価値が100万ドルを超えるものは2種類のみであるため、大規模な売却が発生する可能性は低いです。

ブロックチェーンセキュリティ会社Salus Securityは、ハッカーのアドレスを迅速に特定しました。そのアドレスの資金源には、ある匿名ミキシングツールと複数の取引所からの大口引き出しが含まれています。

あるブロックチェーンデータ分析プラットフォームによると、盗まれた1.6億ドルのうち約73%がステーブルコインで、8%がWBTC、6%がETHです。攻撃者は1.14億ドルをある分散型取引所に流動性を提供するために預け入れ、そのプラットフォームの第3位の流動性提供者となりました。

安全会社のSlow Mistの分析によると、盗難の原因はProfanityツールを使用して作成された美しい番号のウォレット（アドレスが0x0000000で始まる）である可能性があります。

翌日、マーケットメイカーの創設者は、6月にProfanityと内部ツールを使用してウォレットアドレスを作成したことを確認しました。目的はガス料金の最適化であり、エモジ番号を追求することではありませんでした。先週、Profanityに脆弱性があることが判明した後、会社は古いキーの廃止を加速しましたが、内部の操作ミスにより誤った関数が呼び出され、影響を受けたアドレスの署名と実行権限を削除できませんでした。

盗まれた資金の回収について、創設者は全額返還される場合、ハッカーに対して10%、すなわち1600万ドルの報酬を支払う意向を示しました。

今後の運営について、創業者は今回の脆弱性が内部の人的ミスに起因しているものの、会社は従業員を解雇したり、戦略を変更したり、追加資金を調達したり、DeFi事業を停止したりしないと強調しました。

しかし、オンチェーンデータは、この会社がいくつかの取引先に対して2億ドルを超えるDeFi債務を負っていることを示しています。その中で最大のものは、10月15日に期限が到来する9200万ドルのUSDTローンで、さらに7500万ドルと2240万ドルの他の債務があります。

盗まれた資金が迅速に回収できない場合、その会社は債務危機のリスクに直面する可能性があります。

! 【Wintermuteは人為的ミスによりハッキングが続いていますが、個人の資産を保護するために注意すべき点は何ですか? ](https://img-cdn.gateio.im/webp-social/moments-d3fc88f3a0c4e7ac0e298c3f5afe043f.webp)

歴史の繰り返し：人的ミスにより2000万トークンを失った

注意すべきは、これはこのマーケットメイカーが人的ミスにより損失を被るのは初めてではないということです。今年6月9日、あるLayer 2プロジェクトに対してトークン流動性サービスを提供している際に、操作ミスにより2000万枚のトークンが盗まれました。

当時、そのLayer 2プロジェクトは、このマーケットメイカーに新しく発行されたトークンの流動性を提供するように招待しました。プロジェクトはマーケットメイカーに2000万枚のトークンの一時的な贈与を提供しました。マーケットメイカーは、トークンを受け取るためのイーサリアムメインネット上のマルチシグウォレットアドレスを提供しました。プロジェクトは2回のテストトランザクションを行い、確認を受けた後、残りのトークンを送信しました。

しかし、マーケットメーカーが提供するのはイーサリアムメインネットのマルチシグアドレスであり、そのアドレスはまだLayer 2ネットワークに展開されていません。メインネットのマルチシグを制御しても他のEVM互換チェーンを制御できるわけではなく、マーケットメーカーは後にこれらのトークンにアクセスできないことに気づきました。

マーケットメイカーはその後、操作を再開し、L1のマルチシグ契約をL2の同じアドレスにデプロイしようとしました。しかし、このプロセスが完了する前に、攻撃者が先にマルチシグをL2にデプロイし、2000万枚のトークンを制御しました。攻撃者はその後、100万枚のトークンを売却しました。

幸いにも、翌日ハッカーは1700万枚のトークンを返還し、市場メーカーは残りの200万枚を返済することを約束しました。

! 【Wintermuteは人為的ミスによりハッキングが続いていますが、個人の資産を保護するために注意すべき点は何ですか? ](https://img-cdn.gateio.im/webp-social/moments-33069d695c84b77db09a04e8a52c7194.webp)

個人資産のセキュリティ保護に関する推奨事項

機関が人為的なミスによって巨額の損失を被ることが頻繁にあることを考慮すると、一般のユーザーは個人の資産を保護する際に特に慎重である必要があります。以下は重要なアドバイスのいくつかです：

1. 第三者ツールを使用してウォレットを作成するのを避けてください

ネイティブの暗号ウォレットを除いて、他のサードパーティツールを使用してウォレットを作成しないでください。サードパーティツールには、ユーザー記録を監視したり、低コストで不正行為を行うリスクがあります。例えば、あるDEXアグリゲーターは、Profanityを使用して作成されたイーサリアムアドレスにセキュリティ上の脆弱性があることを警告しており、資産が盗まれる可能性があります。

2. メインウォレットにマルチシグを有効にすることを検討する

マルチシグは高頻度取引には適していないかもしれませんが、大量の資産を保管する主要なウォレットにおいては、マルチシグを有効にすることで人的ミスによる損失リスクを効果的に低減できます。

3. 私鍵をコピー＆ペーストして保存しないでください

秘密鍵の複雑さは、ユーザーがコピー＆ペースト方式で保存することを誘引しやすい。しかし、デバイス上の多くのサードパーティアプリやプラグインがクリップボードにアクセスできる権限を持っている可能性があり、無線ネットワークの安全性も保証できない。攻撃に直面していない時でも、ハッカーがより多くの資産の入金を待ってから窃盗を実行する可能性もある。

4. オンチェーン操作時に許可された契約と資産を慎重に確認してください

DeFi製品を使用する際は、必ずウェブサイトのドメイン名とブロックエクスプローラー上のコントラクトアドレスが公式バージョンであるかどうかを確認してください。これにより、ハッキングされたフロントエンドやフィッシングサイトによる悪意のあるコントラクトへの承認を避けることができます。

5. 権限の制限を管理し、不要な権限を速やかに撤回する

無制限の権限付与は便利ですが、潜在的なリスクが増加します。実際の使用ニーズに応じて権限の限度を設定することをお勧めします。もはや使用しない製品については、資産へのアクセスの権限を直ちに取り消すべきです。

各大ブロックチェーンブラウザは通常、権限を取り消す機能の入り口を提供しており、ユーザーは定期的にチェックして不要な権限を整理することができます。

ブロックチェーン資産は一度盗まれると、回収が難しいことが多く、また多くの場合法的保護を受けない可能性があります。したがって、ユーザーはオンチェーン操作を行う際に高度な警戒を保ち、自分の資産の安全性を守るために可能な限りの措置を講じる必要があります。

! 【Wintermuteは人為的ミスによりハッキングが続いていますが、個人の資産を保護するために注意すべき点は何ですか? ](https://img-cdn.gateio.im/webp-social/moments-b269dd7050dd4fad2d60319b19a2619f.webp)