ホーム
ニュース
詳細

オマー・ゴールドバーグ、Drift攻撃分析においてマルチシグセキュリティとDeFiの脆弱性を指摘

iconCryptoBriefing
共有
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary icon概要

expand icon
Chaos LabsのCEOであるオマー・ゴールドバーグは、マルチシグ設定におけるタイムロックの役割を強調し、不正取引を防ぐ重要性を指摘した。最近の市場分析で、彼はDrift攻撃を分析し、弱い管理者キーと低い署名閾値といったDeFiの脆弱性を明らかにした。彼は、攻撃がますます複雑化しており、オラクルや市場操作を伴うことが多くなっていると警告した。適切なコラテラルホワイトリストとシステム設計が鍵であると述べた。リスクが高まる中で、感情指数は感情の変化を追跡する上で依然として有用なツールである。

主なポイント

  • マルチシグ設定では、不正なトランザクションを防ぐためにタイムロックが不可欠です。
  • Drift攻撃は、システムに対する深い知識を持つ人物によって実行されました。
  • マルチシグ設定での署名要件の最小化は、セキュリティ上の脆弱性を引き起こす可能性があります。
  • オープンソースパッケージは、開発者のマシンにルートアクセスを獲得するために悪用される可能性があります。
  • 管理者キーのセキュリティは、不正なマルチシグ作成を防ぐために不可欠です。
  • 無制限のパラメーターを持つスカムトークンは、市場やオラクルを操作できます。
  • 高度な攻撃は、複数の操作手法を含むことがよくあります。
  • 貸出アプリケーションにおいて、資産をコラテラルとしてホワイトリスト登録することは重要です。
  • 耐久性のあるノンスはユーザー体験を簡素化しますが、セキュリティリスクを伴います。
  • 堅牢なシステムアーキテクチャは、効果的なセキュリティとリスク管理に不可欠です。
  • Drift攻撃は、DeFiにおけるセキュリティ対策の強化の必要性を浮き彫りにしています。
  • トークン作成のメカニズムを理解することで、市場操作を防ぐことができます。
  • 高度な攻撃は、技術的手段と社会工学的手段の組み合わせを必要とします。

ゲスト紹介

オマー・ゴールドバーグはChaos Labsの創設者兼CEOです。以前はInstagramでテクニカルリーダーを務め、コマース広告のモバイル体験を構築しました。Chaos Labsでは、2000億ドル以上の取引高を処理し、主要な暗号資産プロトコルをセキュアに保つEdgeオラクルシステムなどのインフラを開発しています。

マルチシグ設定におけるタイムロックの重要性

  • マルチシグ設定にタイムロックが存在しないと、重大なセキュリティ脆弱性につながる可能性があります。

    —オマー・ゴールドバーグ

  • タイムロックは、トランザクションの実行を遅らせることで、追加のセキュリティ対策を提供します。

  • このマルチシグは205マルチシグであり、実行可能なすべての機能にタイムロックが設定されていませんでした。

    —オマー・ゴールドバーグ

  • タイムロックがない場合、署名後すぐに取引が実行されるため、リスクが高まります。
  • タイムロックは、介入の時間を設けることで、不正な取引を防ぎます。

  • タイムロックとは、署名後、実際に実行されるまでに期間が設けられることを意味します。

    —オマー・ゴールドバーグ

  • タイムロックを実装することで、スマートコントラクトシステムのセキュリティを大幅に向上させることができます。
  • タイムロックのないマルチシグ設定は、悪用されやすくなります。

Drift攻撃の体系的な性質

  • Driftに対する攻撃は、システムに対する深い理解を持つ人物によって体系的に実行されました。

    —オマー・ゴールドバーグ

  • 攻撃者はプログラムを調査し、戦略的に攻撃を計画しました。

  • これは、偶然鍵を手にした誰かとは異なりました。

    —オマー・ゴールドバーグ

  • この攻撃の洗練された構造は、暗号資産分野におけるより組織化された敵対者の登場を示唆しています。
  • このような攻撃には、ターゲットシステムの脆弱性に対する深い理解が必要です。

  • 彼らはすべてを計画し、実行する際に体系的かつ戦略的でした。

    —オマー・ゴールドバーグ

  • Drift攻撃は、DeFiセクターにおける脅威の複雑さが増していることを示しています。
  • このような攻撃の複雑さを理解することは、効果的なセキュリティ対策を策定するために不可欠です。

マルチシグにおける最小署名要件のセキュリティへの影響

  • マルチシグ設定の脆弱性は、必要な署名数が最少であったため、セキュリティが低かったことに起因します。

    —オマー・ゴールドバーグ

  • 2-of-5マルチシグ設定は、セキュリティ面では単一キーの1段階上に過ぎません。

  • それは単一の鍵ではなく、マルチシグでしたが、205マルチシグでした。

    —オマー・ゴールドバーグ

  • 署名要件を最小限にすると、マルチシグ設定が攻撃に対して脆弱になりやすくなります。
  • 必要な署名の数を増やすことで、セキュリティを強化できます。

  • これはマルチシグで必要な最小の署名数のようなものです。

    —オマー・ゴールドバーグ

  • マルチシグ設定のセキュリティは、必要な署名の数に直接関係しています。
  • これらの脆弱性を理解することは、マルチシグセキュリティプロトコルの改善に不可欠です。

オープンソースパッケージにおける脆弱性とその影響

  • 悪用は人気のあるオープンソースパッケージに導入され、攻撃者が開発者のマシンにルートアクセスを獲得できるようになります。

    —オマー・ゴールドバーグ

  • 攻撃者はオープンソースソフトウェアを改変して脆弱性を導入することができます。

  • これらのパッケージのいずれかで実際に制御を受けることができれば、わずかな変更を加えるだけで済みます。

    —オマー・ゴールドバーグ

  • これらの変更により、攻撃者が侵害されたマシンにルートアクセスを得られるようになります。

  • どの開発者のマシンでも実行すると、そのマシンへのルートアクセスが得られます。

    —オマー・ゴールドバーグ

  • オープンソースソフトウェアのセキュリティは、サプライチェーン攻撃を防ぐために重要です。
  • オープンソース依存関係を使用する開発者にとって、これらのリスクを理解することは不可欠です。
  • オープンソースプロジェクトのセキュリティを維持するには、警戒と定期的な監査が不可欠です。

Driftハッキングにおける管理者キーの役割

  • このハッキングは、ハッカーが管理者キーに事前アクセスしていたことによって引き起こされた可能性が高い。

    —オマー・ゴールドバーグ

  • 管理者キーにより、ハッカーは元の署名者の知らないうちに新しいマルチシグを作成できました。

  • これは計画されたイベントだったようであり、ハッカーはある種のアクセスを持っていたと考えられます。

    —オマー・ゴールドバーグ

  • 管理者キーのセキュリティは、不正なアクセスや操作を防ぐために不可欠です。

  • 彼は他の鍵にもアクセスできた可能性があり、それが2つの署名の由来です。

    —オマー・ゴールドバーグ

  • 管理者キーのセキュリティを確保することで、今後同様の攻撃を防ぐことができます。
  • 管理者キーの役割を理解することは、システムの整合性を維持するために不可欠です。
  • Driftのハッキングは、分散型システムにおける管理者キーのセキュリティの重要性を浮き彫りにした。

DeFiにおける市場操作のメカニズム

  • この攻撃は、市場とオラクルを操作可能にする無制限のパラメーターを持つスカムトークンを作成することを含んでいました。

    —オマー・ゴールドバーグ

  • 詐欺トークンは、市場状況を操作し、プロトコルを悪用するために使用されることがあります。

  • cbtというコイン自体は、この攻撃を目的として作られたスカムトークンにすぎません。

    —オマー・ゴールドバーグ

  • この攻撃は、スカムトークンを新しい担保資産として追加できる機能を悪用しました。

  • 無制限のパラメータ、無限のパラメータ、最大パラメータが設定されていたのは市場です。

    —オマー・ゴールドバーグ

  • トークンのメカニズムを理解することは、市場の操作を防ぐために不可欠です。
  • この攻撃は、DeFiにおけるコラテラル資産の管理方法に存在する脆弱性を浮き彫りにしています。

  • これにより、ユーザーまたは悪用者は、Driftプロトコル上でCBTを新しい担保資産として追加できるようになりました。

    —オマー・ゴールドバーグ

複数の技術を用いた攻撃の高度化

  • この攻撃は、オラクルや市場操作を含む複数の操作手法を用いて洗練されていました。

    —オマー・ゴールドバーグ

  • 高度な攻撃は、技術的手段と社会工学的手段を組み合わせたものであることがよくあります。

  • これが再び、私がこれが洗練されていると言っている理由です。この攻撃者は準備を進めていたからです。

    —オマー・ゴールドバーグ

  • オラクルの操作は、複雑なDeFi攻撃の重要な要素となる可能性があります。

  • 社会工学的な要素があり、その後オラクルの操作があり、さらに市場操作がありました。

    —オマー・ゴールドバーグ

  • これらの技術を理解することは、包括的なセキュリティ対策を構築するために不可欠です。
  • このような攻撃の複雑さは、堅牢なセキュリティプロトコルの必要性を強調しています。
  • マルチテクニック攻撃は、技術的および社会的な脆弱性の両方に対する深い理解を必要とします。

貸出アプリケーションにおけるコラテラルホワイトリストの重要性

  • 貸出アプリケーションで資産をコラテラルとしてホワイトリスト登録できる能力は、その資産に対して与えられるクレジットラインを決定する上で不可欠です。

    —オマー・ゴールドバーグ

  • ホワイトリストは、貸出プロトコルで担保として使用できる資産を決定します。

  • あらゆる貸付アプリケーションやボックスアプリケーションにおいて、どの資産をホワイトリストに追加するかは非常に重要です。

    —オマー・ゴールドバーグ

  • ホワイトリスト登録のプロセスは、ユーザーに利用可能なクレジットラインに影響を与えます。
  • コラテラル管理を理解することは、貸出アプリケーションの安定性を維持するために不可欠です。

  • あなたはその資産に対してクレジットラインを拡大しています。

    —オマー・ゴールドバーグ

  • 適切なコラテラル管理は、悪用を防ぎ、システムの整合性を維持します。
  • 貸出アプリケーションのセキュリティは、コラテラルの管理とホワイトリスト登録方法に密接に関係しています。

ブロックチェーンにおける耐久性のあるノンスの二重性

  • 耐久性のあるノンスにより、時間制限なしでトランザクションに署名できるため、ユーザー体験が簡素化されますが、セキュリティ上の脆弱性も生じます。

    —オマー・ゴールドバーグ

  • 耐久性のあるノンスは、トランザクションにかかる時間制約を削除することで、ユーザー体験を向上させます。

  • 耐久性のあるノンスは、有効期限のないトランザクションに署名できることを解決します。

    —オマー・ゴールドバーグ

  • ただし、攻撃者が署名キーにアクセスした場合、それらは悪用される可能性もあります。

  • 攻撃者がその鍵にアクセスした瞬間、彼らはその取引に署名でき、任何のアラームを鳴らすことなく行動できました。

    —オマー・ゴールドバーグ

  • デュラブルなノンスの影響を理解することは、ユーザー体験とセキュリティのバランスを取るために不可欠です。
  • 耐久性のあるノンスの使用には、潜在的なセキュリティリスクを慎重に検討する必要があります。
  • 耐久性のあるノンスの利点とリスクをバランスよく扱うことは、セキュアなブロックチェーン実装に不可欠です。

セキュリティにおけるシステムアーキテクチャの基盤的な役割

  • 効果的なセキュリティとリスク管理には、堅牢なシステムアーキテクチャが不可欠です。

    —オマー・ゴールドバーグ

  • 健全なアーキテクチャは、安全でレジリエントなシステムの基盤です。

  • これを解決する方法は、優れた設定、健全なアーキテクチャ、そして堅牢なシステムを持つことです。

    —オマー・ゴールドバーグ

  • 積極的なセキュリティ対策は、セキュリティ問題が発生する前に防ぐために不可欠です。

  • それが一番です。これは後から分かったことです。

    —オマー・ゴールドバーグ

  • システムアーキテクチャの重要性を理解することは、テクノロジーセキュリティに関わるすべての人に不可欠です。
  • 優れた設計されたシステムアーキテクチャは、多くの一般的なセキュリティ脆弱性を防ぐことができます。
  • Driftのハッキングは、セキュリティ侵害を防ぐための堅牢なアーキテクチャの必要性を浮き彫りにしました。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。 デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。