Web3 におけるエンド ユーザー詐欺とフィッシング攻撃: 過少報告されている?
サイバーセキュリティの専門家である Christian Seifert 氏によると、仮想通貨業界のエンド ユーザーは、多くの場合報告されない多数の攻撃に直面しています。広く採用されるためには、Web3テクノロジのセキュリティ上の懸念に対処し、これらのシステムに対するエンド ユーザーの信頼を高める必要があります。
フィッシング、脆弱性、マルウェア、中央集権化 – 毒を選ぶ
現在、セキュリティとブロックチェーンの運用監視のためのリアルタイム検出ネットワークである Forta Networkの研究者である Seifert 氏は、Cryptonews.comに、Web3 スペースはプロトコルを標的とする攻撃で満たされていると語った。今年 3 月に見られたRonin bridge 攻撃や 9 月に発生したWintermuteなど、報告されるのはほとんどが最大規模のハッキングだけです。
サイバー犯罪者は、プロトコルのアドレスに関連付けられた秘密鍵を盗むために Web3 企業を標的にすることがよくあります。これらのキーは、フィッシング攻撃によって、または攻撃者がアドレスを制御できるようにする脆弱性を悪用することによって取得できます。業界がこれらの脆弱性を認識するようになると、通常はプロトコルの更新によって修正されます。
一部のプロトコルは定期的にコントラクトを更新しないため、攻撃に対して脆弱です。これらの脅威に加えて、秘密鍵を盗んだり、トランザクション アドレスを変更したりできるさまざまなマルウェアもあります。
しかし、ザイフェルトは次のように主張した。
”心に留めておくべきことの 1 つは、プロトコルは、1 つのアドレスまたは 1 つの開発者の信頼に依存するような方法で構築されるべきではないということです。”
たとえば、契約上の役割を変更できるのは 1 人だけではありません。代わりに、複数の人またはコミュニティが決定を承認するマルチシグのようなものによって制御する必要があるため、”マルウェアに感染し、秘密鍵が侵害されたとしても、私だけでは何もできません。”
これに関連して、ブロックチェーンを一時停止できるかどうかの問題があります。そのCEOによると、たとえば、大手仮想通貨取引所のバイナンスは、6 月にバックログを理由にビットコイン (BTC) の引き出しを一時停止しました。そして、攻撃されたときに多くの人がこのオプションを選択しているため、そうしているのはそれだけではありません。
ブロックチェーン自体であるベースレイヤーで一時停止することは、”その特定のブロックチェーンの集中型の性質を示しているため”と、サイファート氏は主張しました。
一方、アプリケーション層での一時停止は別の話であり、攻撃を受けたときにユーザーの資金を保護するために必要な手段であると彼は言いました. たとえば、プロトコル全体に影響を与えるのではなく、特定の値を超えるトランザクションに影響を与える一時停止機能が存在する可能性があります。
”これらのアクションの目標は、攻撃を軽減または減速させると同時に、正当なユーザーがプロトコルを引き続き使用できるようにすることです”と Seifert 氏は言います。
さらに、セキュリティの実装方法に関する透明性が不可欠であり、ユーザーがプロトコルを使用するかどうかを決定するために、セキュリティ対策に関するすべての既存の情報を入手できるようにする必要があると専門家は述べています。彼は次のように主張した。
”あいまいさによるセキュリティは、進むべき道ではありません。”
広く報告されているが過少報告されているエンドユーザーに対する犯罪
これまで、プロトコルや企業に影響を与える問題について話してきましたが、それでも、最も影響を受けるのはエンド ユーザーです。これらの大規模な盗難に加えて、無数の小規模な攻撃もあり、たとえば、40,000 ~ 50,000 ドルの資産が盗まれます。
”それらは実際には過少報告されていると思います”と Seifert 氏は述べています。”さらに過小報告されているのは、本質的にエンドユーザーが経験している盗難だと思います。なぜなら、報告メカニズムが実際には存在しないからです。”と、付け加えました。
エンド ユーザーは、さまざまな種類の詐欺や、一般的には”アイス フィッシング” (ユーザーのウォレットに関連付けられたデジタル資産へのアクセスを攻撃者に許可する署名承認トランザクション) を通じて頻繁に攻撃されています。
Seifert はまた、最近の攻撃の例として、エンド ユーザーがスワップごとにレーキを取るトークンに騙されていた例を挙げました。スワップ料金に加えて、数ドルがトークンの展開者に吸い上げられていました。これらの盗難はエンドユーザーにははっきりと見えない、と彼は警告した。
したがって、ザイフェルトは次のように付け加えました。”私たちはプロトコルについて多くのことを話しましたが、エンド ユーザーについても考える必要があります。そして本当に重要なのは、エンド ユーザーを保護し、悪意のあるアカウントをブロックするセキュリティ サービスと、アプリケーションがデジタル資産に対してどのように動作するかに関してユーザーがポリシーを設定できるようにするアカウントの抽象化があることです。”
エンド ユーザーを保護する方法
Web3 の存在がこれらの破壊的な攻撃によって脅威にさらされているのか、それとも単なる初期の問題なのかと尋ねられた Seifert 氏は、”それは組み合わせです”と述べましたが、いずれにしても悪影響があると述べました。確かに採用には不利です。
たとえば、ユーザーが仮想通貨または代替不可能なトークン ( NFT ) が盗まれたのを見た場合、多くの場合、ユーザーは”何が起こったのか理解できません。彼らは基本的に空の財布に直面しています”とザイフェルト氏は述べ、次のように付け加えました。
”だからといって、そうした人たちが Web3 にとどまる可能性が高まるわけではないと思います。そのため、特に被害者はおそらく Web3 に背を向けると思います。これらの話の多くはオンラインで共有されており、それは多くの信頼を植え付けるものではありません。”
一方、最近の一連のプロジェクトの失敗と破産、特にFTX取引所の崩壊により、集中化の問題が再び脚光を浴びるようになり、分散型金融(DeFi)と非カストディアルソリューションへの信頼が高まっていると専門家は述べています。
しかし、お金があるところには悪者がいます。ユーザーは中央集権的な取引所から資金を引き出してきたので、非管理的な側面を採用し、DeFi に参加するユーザーが流入する可能性があります。
”攻撃者がそれを利用しようとするのは確実です。エンドユーザーに影響を与えるフィッシング、ラグプル、すべての詐欺について大規模なプッシュが行われると思います。”
したがって、潜在的に危険なアクションについてユーザーに警告する、より優れたセキュリティ レイヤー、ユーザーを対象とした教育の強化、エンド ユーザー向けの使いやすさの改善 (製品の簡素化、ユーザー フレンドリーなウォレット、およびそれを支援するソリューションなど) が必要です。エンド ユーザーは Web3 をナビゲートします。攻撃者が利用しているのは、平均的なユーザーには理解できない製品やトランザクション内のこれらの複雑さである、と Seifert 氏は述べ、次のように付け加えました。
”大規模なウォレット プロバイダーでさえ、エンド ユーザーを保護するために広範なセキュリティ機能を採用する必要があります。”
同時に、この業界はかなり歴史が浅く、Seifert 氏はここ数年、エンド ユーザーとプロトコルが自身を保護するのに役立つ”過多”のセキュリティ サービスがオンラインに登場するのを見てきました。
Seifert 氏によると、包括的なセキュリティ戦略の重要な要素には次のようなものがあります。
 |
監査: 監査は、プロトコルを保護するために最もよく採用されている手法であり、車輪の再発明を試みるのではなく、多くの既知のバグを排除する、既に監査済みのテンプレート ライブラリを使用する必要があります。 |
|
バグ報奨金: 報奨金の採用が増加しており、セキュリティ研究者は倫理的な方法で素晴らしい仕事をしています。プロトコルは、潜在的な攻撃者がそれに反対するのではなく、協力することを奨励する必要があります。 |
|
監視: プロトコルが展開されると、攻撃が発生した場合にそれを軽減するために行動する時間を確保できるため、監視は最も重要です。 |
|
インシデント対応能力: 自動化または手動のいずれかであり、資金を処理して保護するために必要です。 |
|
一時停止機能: 上記のように、これは資金のさらなる流出を防ぐのに役立ちます。 |
|
アップグレード可能な契約; |
|
サイバー保険。 |
彼は次のように付け加えた。
”理想的には、これらは初日から統合されるべきです。しかし、多くのプロトコルは小さなチームであり、急速に革新し、迅速に市場に投入したいと考えています。その結果、その環境でのセキュリティは最優先事項ではありません。”
しかし、彼らが市場に参入し、成功した場合、ユーザーの流入が見られ、ロックされた合計値 (TVL) が上昇します。これが、このプロトコルのリスク プロファイルが変化する場所です。
”攻撃者はプロトコルにどれだけのデジタル資産があるかを見て、あなたが標的になります。そして、リスクになったら、包括的なセキュリティ戦略を採用する必要があります。”
一方、Web2 業界では、マネージド サービス プロバイダーにセキュリティ サービスが集中しており、中小企業はそのようなプロバイダーにセキュリティ サービスを依頼することができます。”そして、Web3 の分野でも同様のことが起こると予想しています”と Seifert 氏は述べています。そこには集中化の問題があり、業界はそれを軽減する方法を見つける必要があります。
攻撃はユーザーとプロトコルの両方にとって大きな問題であり、業界は攻撃をそのように認識しており、セキュリティ サービスを作成している企業、分散型自律組織 ( DAO )、およびコミュニティの”混乱”を生み出しています。
”したがって、5 年以内にセキュリティが Web3 空間でより成熟することを強く期待しており、それが見え始めています”と Seifert 氏は締めくくりました。
____
詳細:
– Binance の CEO が、仮想通貨業界を標的とした新たなハッキングについてユーザーに警告
– DeFi プロトコルの Ankr が Infinity Minting Exploit に苦しむ – 何が起こったのか
– 1億6000万ドルのラグプル? – 暗号ステーキングプラットフォームのフリーウェイが”前例のないボラティリティ”を理由に引き出しを停止
– GameFi ラグプルと誤って閉鎖された取引所 – 暗号のリスクに注意してください
