タイニーマンへの攻撃からの教訓、アルゴランドで最大のDEX

読み取り時間： 5 分

ハッカーがさまざまなネットワーク内の脆弱性を攻撃し、何百万もの盗まれた資産を追加するため、暗号ハッキングは2022年も続きます。 Algorandコミュニティは、分散型取引所への攻撃により約3万ドル相当の資産が失われた後、酸っぱいメモで今年を始めました。

報告によると、 2022 年 1 月 1 日、許可されていないユーザーが攻撃しました タイニーマン、Algorand上に構築された分散型金融プラットフォーム。 イベントはXNUMXつの別々の攻撃で行われ、ハッカーが盗むことができました 3万ドル プロトコル内のプールから。

Tinymanのレポートによると、250つのアカウントが侵害され、goBTCとgoETHを保有している約360人のユーザーに影響が及んでいます。 13のプールは、XNUMXの一意のアドレスによって実行されたXNUMXの悪意のあるアクティビティの影響を受けました。

特に、攻撃者はウォレットアドレスをアクティブにして、攻撃のシード資金を預けることができました。 さらに、これらの個人は、Tinymanのスマートコントラクトでこれまで知られていなかった脆弱性に違反したと報告されています。 これにより、XNUMXつの同じトークンを取得できるようになり、その後、いくつかのアセットとミントプールトークンを交換しました。

伝えられるところによると、攻撃は許可されていないユーザーを支持しました。 goBTC 資産はより価値がありました ALGO より多くの資金を受け取るために彼らが交換したトークン。 さらに、攻撃者は、資産を他のウォレットや集中型取引所に引き出す前に、プールをステーブルコインと交換しました。

Tinymanは、信頼できない許可のないプロトコルとして、特に不変のコントラクトを使用しているため、取引所が脆弱性を修正して攻撃を迅速に阻止することは不可能です。 ただし、その結果、問題の修正に取り組んでいるため、プラットフォームを使用しないようにユーザーにアドバイスすることしかできませんでした。

Tinymanチームは引き続き発生率を調査しているため、いくつかの重要な領域に対処する必要があります。 これらには以下が含まれます：

監査の重要性

DeFiおよび暗号通貨市場全体での詐欺事件および暗号関連攻撃の数の増加を考えると、チェックシステムと説明責任の必要性を十分に強調することはできません。 

昨年XNUMX月、 楕円、グローバルな暗号管理リスク会社は、 ２０２２年の１７４億４０００万ドル ネットワークやプロトコルに対するハッキングやその他の攻撃により、2021年にDeFiから価値のある資産が失われました。 

さらに、DeFi関連のハッキングが原因でした 視聴者の３８%が レポートによると、DeFi内の分散型アプリケーション（DApps）の信頼できない性質は、祝福であると同時に呪いでもあります。 信頼できないということは、ユーザーの資金に対する第三者の管理を排除します。 ただし、ユーザーは、問題のプロトコルの作成者が、システムへの攻撃を可能にする可能性のあるコーディングまたは設計の誤りを犯していないことを信頼することを余儀なくされています。

監査により、信頼できるエンティティは、プロジェクトのコードと構造設計の脆弱性をチェックできるため、全体的なセキュリティが向上します。 ハッカーがシステムを攻撃するために使用する洗練された新しい技術に追いつくために、監査は常に実行されるべきです。 Tinymanは監査を受けたと報告されていますが、最近の監査チェックは、バグや脆弱性を修正し、損失を防ぐのに役立つ可能性があります。

必読： ブロックチェーン監査に向けて取り組むXNUMX大会計事務所

理想的には、スマートコントラクト監査は、コントラクトが展開される前に実行する必要があります。 これらの監査は、スタックの問題、再入可能の間違い、その他の考えられる問題などの一般的なエラーをチェックしようとします。 監査プロセスでは、開発者がスマートコントラクトをテストできるようにしながら、ホストプラットフォームの既知のエラーとセキュリティ上の欠陥もチェックします。

さらに、監査はプロジェクトが常にスマートコントラクトを改善するのに役立ち、プロジェクトが常に最新であることを保証します。 たとえば、攻撃に続いて、Tinymanは将来そのような攻撃を防ぐためにスマートコントラクトを更新することを余儀なくされました。

DeFi保険

特に、DeFi市場内で取り決めを行う前に、ユーザーは市場に関連するリスクを完全に理解する必要があります。 スマートコントラクトのリスクとは別に、ユーザーはオラクルのリスクとガバナンスのリスクにも直面する可能性があります。 

とはいえ、市場とその中のプロジェクトについて適切な調査を行うことで、ユーザーは情報に基づいた決定を下すことができます。 そのような決定のXNUMXつは、DeFiInsuranceを通じて予期しない攻撃に対する保護を取得することです。

DeFi保険は、DeFi業界での出来事が被る可能性のある損失に対して、自分自身に保険をかけるか、補償を購入するプロセスです。 DeFi内での損失の増加は、新しいプロジェクトが日ごとに増加し続けるにつれて、DeFi保険商品の需要を生み出しました。 

通常、影響を受ける多くの取引所は、攻撃後に被害者に払い戻しを行うことになります。 ただし、ハッキングされたプロジェクトの中には、ユーザーに払い戻しを行えないものもあります。

Tinymanチームは、影響を受けたユーザーに損失の払い戻しが行われることを保証するために出てきたことに注意してください。

コミュニティの強さ

特に、最初の攻撃が公開された後、さらに多くのハッカーがハッキングをコピーする機会を得ました。 彼らは同じ脆弱性を使用して、取引所でより小さな攻撃（XNUMX番目からXNUMX番目の攻撃）を実行しました。 しかし、Tinymanはコミュニティの助けを借りて、資産の大部分を節約することができました。

この攻撃や同様の攻撃では、コミュニティがニュースをより早く広めるのに役立ち、ユーザーが資産を安全に保つために必要なセキュリティアクションを実行できるようになりました。 さらに、コミュニティは、エコシステム全体の成長のために、開発者とユーザーの間のより良いコミュニケーションとコラボレーションを構築するのにある程度役立ちました。

最近では、暗号ベースのコミュニティは、業界内のプロジェクトの成長につながる革命を起こすのに役立っています。

包み込む

ブロックチェーンは、特に金融業界で大きな進歩を遂げましたが、テクノロジーは完璧にはほど遠いものです。 ただし、プロジェクトの所有者、開発者、およびユーザーは、ブロックチェーンベースのアプリケーション内のセキュリティを強化するために適切な対策を講じることができます。

プロジェクトは、監査やその他の関連する手段を通じて説明責任の手段を講じることにより、アプリケーションに対して使用される可能性のあるバグや脆弱性を排除できます。 また、DeFi保険などの他の予防策を講じ、緊密なコミュニティを維持することは、このようなイベントを軽減する上で重要です。 

QuillAuditsに連絡する

QuillAuditsは、によって設計された安全なスマートコントラクト監査プラットフォームです。 クイルハッシュ
テクノロジー
これは、スマートコントラクトを厳密に分析および検証して、静的および動的分析ツール、ガスアナライザー、およびシミュレーターを使用した効果的な手動レビューを通じてセキュリティの脆弱性をチェックする監査プラットフォームです。 さらに、監査プロセスには、広範な単体テストと構造分析も含まれます。
スマートコントラクト監査と侵入テストの両方を実施して、可能性を見つけます
プラットフォームの整合性を損なう可能性のあるセキュリティの脆弱性。

スマートコントラクトの監査についてサポートが必要な場合は、お気軽に専門家にご連絡ください ここで！

私たちの仕事を最新にするには、私たちのコミュニティに参加してください：-

Twitter | LinkedIn | Facebook | Telegram

ポスト タイニーマンへの攻撃からの教訓、アルゴランドで最大のDEX 最初に登場した ブログ.quillhash.

ソース：https：//blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand