Web3 の詐欺と脅威: 注意すべき Web3 のセキュリティ トレンド

Global Web3 Security & AML Report 2022によると、Web3 業界では 2022 年に 167 件の重大な攻撃が記録されました。Web3 攻撃によって生じた損失総額は約 36 億ドルに達し、これは 2021 年より 47.4% 増加しています。

Web3 にはリスクがないわけではありません

Web3 は、インターネットの次のバージョンを定義するキャッチーな用語です。 Web3 は、ノード上に分散された分散型台帳とデータベースに基づいて、Web2 に関連する集中化、独占、セキュリティ問題のリスクに対抗するように設計されました。

世界の Web3 市場では、ブロックチェーン、NFT、暗号通貨、DeFi ソリューションを使用したデジタル資産とトランザクションの新しい定義が導入されています。時価総額は約 276 億ドルに達し、Web3 市場は急激なペースで拡大しています。

Web3 の概念が何光年先のアイデアのように思われる場合は、 「Web3 とは何ですか?」の記事を読むことをお勧めします。

新しいテクノロジーに基づいて構築されたイノベーションとして、Web3 には新たな利点とリスクの両方が含まれています。インターネットの新たなバージョンは、透明性、分散性、検閲や集中化に対する耐性を備えたものとなることを目的としています。ブロックチェーンテクノロジーのトラストレスな性質は、ユーザーが基礎となるコード、スマートコントラクト、および暗号ウォレットのみを信頼すればよいことを意味します。

ただし、透明なブロックチェーンには、セキュリティとプライバシーに関する特定のトレードオフが伴います。分散化は Web3 とブロックチェーン テクノロジーの最も重要な機能ですが、同時に両刃の剣でもあります。分散化により、データ保護のレベルが高まり、ユーザー側の個人的なリスクも高まります。

Web3 はインターネットに革命をもたらしましたが、リスクがないわけではありません。 Web2 に関連するいくつかの欠陥は修正されましたが、依然として特定のセキュリティ リスクを回避できず、いくつかの新しい形態のサイバー攻撃にも直面しています。

セキュリティ リスクを調べる前に Web3 についてさらに詳しく知るには、次の記事を参照してください: 「Web3 の例とは?」インターネットの未来』。

Web3 に関連する一般的な脆弱性

新しいテクノロジーのサイバーセキュリティを脅かす多くの詐欺とは別に、体系的なリスクについて簡単に説明する必要があります。体系的リスクとは、ユーザーが制御できないものの、経済低迷や技術的障害など、全体的なセキュリティに影響を与える可能性があるエコシステム全体のリスクを指します。

広範な経済不況と仮想通貨市場のボラティリティは、仮想通貨コミュニティが戦ってきた共通の問題です。さらに、法律の一部は、Web3 または仮想通貨市場全体にとって不利となる脅威を示しています。

ミクロ経済学の通貨と金融資産は、多くの Web3 アプリケーションとイノベーションに組み込まれています。これは、全体的なリスク計算を変更する可能性のある予期せぬ要因に相当します。 Web3 組み込み経済アーキテクチャは、従来の IT およびクラウド導入と比較して、サイバー犯罪者により多くのインセンティブを提供します。

暗号通貨市場について話すとき、弱気市場や強気市場などの用語をよく耳にします。これらの用語の詳細については、 「強気市場と弱気市場という用語の意味は何ですか?」の記事を参照してください。

暗号市場のボラティリティは暗号環境における長年にわたる共通の問題ですが、多くの広範なブロックチェーン ネットワークも技術的な障害と闘ってきました。技術的な障害は、トラフィックの過負荷と、信頼できないノード オペレーターなどのブロックチェーン ネットワークの一般的な技術的問題に分類できます。

Web3 セキュリティ リスクの概要

Web3 とブロックチェーン テクノロジーに基づく分散型ネットワークは、データ保護とセキュリティの点でエキサイティングな未来を約束していますが、100% 安全なテクノロジーはありません。現時点では、設計上のトレードオフにより、暗号通貨の地平線には新たな脅威が存在します。

Web3 およびさまざまなブロックチェーン テクノロジのセキュリティと開発の状況に関する詳細な概要は、潜在的な脅威について学ぶ十分な理由を提供します。 Web3 はまだ開発の初期段階にあるため、4 つの主要なカテゴリに分類される新たなリスクを評価することが重要です。

A. データの可用性、信頼性、および操作

ブロックチェーンテクノロジーは、エンドユーザーノードのより高度な制御に基づいており、集中的な監視はありません。データの可用性をノードに依存すると、データが利用できなくなった場合にアプリケーションにどのような影響を与えるかなど、データの可用性に関する疑問が生じます。

ブロックチェーン トランザクションは暗号化され、データの分散化により単一攻撃点や障害が軽減されますが、データは多くのリスクにさらされます。監視が一元化されていないため、エンドポイント攻撃、サービス可用性の悪用、トラフィックのブロックに関して特に懸念が生じます。

もう 1 つの問題はデータの信頼性に関連しています。 Web3 ネットワークの分散型の性質により検閲は減少しますが、データの信頼性と正確性に関しては継続的な問題が存在します。現時点では、ゼロトラストとゲートキーピングに対する混乱の可能性が、データとそれを吸収する人工知能の信頼性にどのような影響を与えるかは不明瞭です。

最後になりましたが、データ操作が深刻な問題として浮上しました。データ操作に関連するリスクには、たとえば次のようなアクティビティが含まれます。

B. 新たな脅威と攻撃形態

Web3 には通常、復元できない個人管理の複数のウォレットが含まれます。これにより、ソーシャル エンジニアリング ハッキングに対して一定レベルの脆弱性が生じます。ブロックチェーン関連の攻撃の多くは、従来のサイバー攻撃と同様、テクノロジーそのものよりも人間の脆弱性に焦点を当てていました。

秘密キーの窃盗とは別に、悪意のある攻撃者の侵入ポイントは、従業員やその他の担当者のソーシャル エンジニアリングに加えて、エンドポイントの脆弱性です。たとえば、韓国に本拠を置く仮想通貨取引所Bithumbは、ハッカーが従業員のコンピュータに侵入したため、3,150万ドルの損失を被った。

ソーシャル メディア詐欺やフィッシング攻撃などの従来のソーシャル エンジニアリング攻撃に加えて、Web3 はいくつかの新しい手法を導入します。集中的な監視がないため、ユーザーはデータセキュリティに対して責任を負い、自分で調査を行う必要があるため、これらのリスクは少し大きくなる可能性があります。 Web3 のセキュリティ リスクに対する認識が限られているため、ユーザーは流行の詐欺やセキュリティ侵害の標的にされやすくなります。

1. クリプトジャッキング

クリプトジャッキングは、攻撃者がユーザーのコンピュータやネットワークに暗号マイニングソフトウェアを密かにインストールするときに発生します。基本的に、これは、加害者がコンピュータのリソースを乗っ取り、暗号通貨をマイニングする一種の攻撃を指します。実際、この方法でマイニングされた最も人気のあるコインは Monero (XMR) でした。

GoogleやAmazonなどのテクノロジー大手も、自社のクラウドサーバーに対するクリプトジャッキングの脅威に警戒を強めている。侵害されたクラウド インスタンスがマイニングに使用されました。この種の攻撃は人気を集めており、ユーザーの意識がサイバー防御の秘密の要素であると指摘されています。

他のほとんどのサイバー犯罪者とは異なり、クリプトジャッカーは長期間にわたってステルス性と検出不能であることで繁栄します。ユーザーは、クリプトジャッカーが長期的なステルス攻撃を実行している間、自分のデバイスが古くなって遅くなっていると考えるかもしれません。

通常、攻撃は、効率的に収入を生み出す大規模なクリプトジャッキング ネットワークを構築するのに十分なデバイスを乗っ取るクルーによって実行されます。通常、マルウェアは正規のソフトウェアの侵害されたバージョンに存在します。したがって、セキュリティ スキャンで脅威としてフラグが立てられる可能性は低くなります。

2. フラッシュローン攻撃

2021年に遡ると、Binance Smart Chain（BSC）プロトコルのPancakeBunnyは2億ドルのフラッシュローン攻撃を受け、70万以上のBUNNYと11万4,000以上のBNBトークンを失った。損失は永久的なものでした。このような攻撃は、DeFiの醜い側面を明らかにしました。 2020年にDeFiの人気が高まって以来、フラッシュローン攻撃が話題になっている。

フラッシュローン攻撃は、暗号通貨、特に DeFi 分野で深刻な問題となっています。これは DeFi 攻撃の一種で、悪意のある攻撃者が融資プロトコルからフラッシュ ローンを引き出し、それを市場操作の目的で使用します。

仮想通貨の世界に慣れていない人は、おそらくフラッシュ ローンとは何なのか疑問に思うでしょう。フラッシュ ローンとは、スマート コントラクトによって強制される新しい種類の無担保ローンを指します。担保が必要なローンを確保することに反対しますが、無担保ローンは論理的には必要ありません。

たとえば、銀行から 2000 ドルを借りたいとします。一部の銀行は、良好な支払い実績のみに基づいてお金を貸してくれます。ここで、多額の金額、たとえば 50,000 ドルが必要だと想像してください。多額の金額になると、銀行は通常、自己を守るために不動産、車、その他何かの担保の提供を要求します。

パンケーキバニーの例を使用してさらに説明しましょう。ハッカーはまずパンケーキスワップを通じて大量のBNBトークンを借り入れ、それをさらに利用してプール内のUSDT/BNBとBUNNY/BNBの価格を操作しました。そのため、攻撃者は大量の BUNNY を盗み出し、市場に投棄したことで価格が暴落しました。そして、ハッカーは PancakeSwap を使用して借金を返済しました。

3. アイスフィッシング攻撃

アイス フィッシングは、ユーザーのトークンの承認を悪意のある攻撃者に委任するトランザクションに署名するようユーザーを説得する攻撃者を指す用語です。フィッシング Web サイト経由でパスワードや秘密キーなどの機密情報にアクセスしようとする従来のフィッシング攻撃とは異なり、アイス フィッシングは Web3 環境でのみ見られる詐欺です。

投資家は DeFi プロトコルに対する多くの許可に署名する必要があるため、アイスフィッシングは重大な脅威として浮上しました。加害者は、承認を与えている悪意のあるアドレスが完全に正当なものであるとユーザーに信じ込ませる必要があります。ユーザーが許可を承認すると、ユーザーの資金が失われる危険性が高くなります。

アイスフィッシング詐欺の実例は、2021 年の BadgerDAO 事件です。加害者は、BadgerDAO のフロントエンドを侵害して、Cloudflare API キーにアクセスし、悪意のあるスクリプトを挿入しました。高額の口座残高を持つ顧客は、偽の取引承認書に署名するよう求められました。

4. スマートコントラクトロジックのハッキング

スマート コントラクトは、不変で改ざん防止が約束されたコードで記述された契約です。スマート コントラクトのロジック ハッキングは、スマート コントラクトの脆弱性を標的とした新たな脅威です。

このようなハッキングは、相互運用性、プロジェクト ガバナンス、暗号ウォレット機能、金融取引サービスなど、多くの機能やサービスを悪用するために使用されてきました。

実際の例をあげてみましょう。パリティは、イーサ暗号通貨を管理するためのマルチシグネチャ ソフトウェア ウォレットを作成しました。マルチシグネチャ ウォレットは本質的にオープンソース ベースで構築されたスマート コントラクトであり、暗号通貨の転送が承認される前に複数の秘密キーが必要でした。

しかし、正体不明の犯人が、スマート コントラクト ライブラリのフォールバック機能とデリゲート コールを悪用して、当時約 3,000 万ドル相当の 150,000 イーサを盗むことに成功しました。

C. アイデンティティの問題

データの最小化、ID ポータビリティ、ユーザー制御のウォレットなどの Web3 の機能は、プライバシーや機密性のリスクなど Web2 の暗い側面の一部を解決し、ユーザーが自分のデータと資産をより詳細に制御できるようになりました。一方で、匿名性、匿名性、自己主権アイデンティティ (SSI) には暗い側面もあります。

パブリック ブロックチェーンの透明性と監査可能な性質には、プライバシーとセキュリティに関するいくつかのトレードオフも伴います。これらのテクノロジーには複雑なオンボーディング プロセスと教育が必要であるという事実とは別に、インターネットの新たな導入により、プライバシーに関する多くの疑問が生じました。

たとえば、どの情報がチェーン上に保存され、どの情報がオフチェーンに保存されますか?

匿名性の部分はコンプライアンスに関するデータのギャップにつながり、マネーロンダリングへの扉を開くと言われています。一方で、分散型 ID では個人を特定できる情報の検証が困難になるため、GDPR などの最新のデータ保護規制に問題が生じます。

ボットが混乱を引き起こし、社会規範が崩壊するまでは、匿名性は素晴らしいものです。それが Web2 が私たちに教えてくれた教訓です。仲介業者を排除してユーザーの手に権限を取り戻すことで、何らかのトレードオフが発生しないと考えるのは少し単純です。長期的には、匿名性は責任と消費者保護の問題を引き起こします。

Web3 で安全を保つにはどうすればよいですか?

2 要素認証、強力なパスワード、フィッシング詐欺やその他の脅威に対する注意と知識など、Web2 のセキュリティ慣行の多くは Web3 にも応用できます。 Web3 は多くの新たなリスクをもたらしましたが、あなた自身とあなたの貴重な資産を守るために講じることができる手順があります。

A. 秘密鍵を安全に保管してください

集中型の交換とは対照的に、秘密鍵を完全に制御できるセルフカストディウォレットにデジタル資産を保存する方が安全です。通常、秘密鍵はシード フレーズでバックアップされます。シード フレーズは、暗号ウォレット アドレスへのアクセスを許可する、特定の順序で並べられた 12 語または 24 語の一意のセットです。簡単に言うと、人間が読めるバージョンの秘密キーです。

追加のセキュリティ層を確保するために、リカバリ フレーズを物理世界のどこかに保存したり、フレーズの複数のコピーを別の場所に保存したりすることができます。各コピーは安全に保管する必要があることに注意してください。

B. フィッシングの脅威に対して常に警戒する

アイス フィッシングでも従来のフィッシングでも、主なルールは不審な電子メールやメッセージを避けることです。こうした試みの多くは正当なものと思われます。誰かがあなたの秘密鍵、シードフレーズ、または何らかの許可を求めてきたときは、再確認することが賢明です。いつでも会社に直接連絡できます。

もう 1 つのオプションは、コールド ストレージとも呼ばれるセルフカストディ ハードウェア ウォレットを取得することです。ハードウェア ウォレットは非常に安全ですが、安全に保管し、ソーシャル エンジニアリングの試みから身を守る必要があります。ハッカーは人間の脆弱性を利用して繁栄することを忘れないでください。

C. スマート コントラクトとその弱点について詳しく学ぶ

スマート コントラクトは比較的新しいタイプのテクノロジであるため、コードにエラーが含まれる可能性があります。サイバー犯罪者は、資金を盗むためにスマート コントラクト コードのエラーを見つけることに重点を置いています。スマート コントラクトは自己実行されるため、コードの失敗はエンドユーザーに悪影響を与える可能性があります。

ほとんどのスマート コントラクトはオープンソース プロジェクトであり、定期的なセキュリティ監査によってチェックされます。ただし、ユーザーの大部分は、コードを評価するために必要な技術的知識を持っていません。

それにもかかわらず、 DYOR (Do Your Own Research) は暗号通貨の世界における黄金の経験則です。まず、使用している分散型サービスの URL を再確認し、サイバー セキュリティの十分な実績を備えたよく知られたアプリケーションを使用することから始めます。