Rubic DEX Aggregatorのセキュリティ侵害により、ユーザー資金の損失が140万ドルに達する

Rubicプロトコル事件の理解

2022年12月、クロスチェーンの分散型金融(DeFi)プロトコルがセキュリティ侵害を受け、ユーザー資金の約140万ドルが失われました。この事件は、プロトコルのルーティング契約の1つが侵害されたときに発生し、状況が完全に評価されるまで全契約が即時に停止されました。

攻撃とその結果

その侵害により、攻撃者はプロトコルのスマートコントラクトを承認したwalletsから直接資金を siphon することができました。ブロックチェーンセキュリティの専門家は、この脆弱性が特定のステーブルコインをサポートされているルーターに追加する際のエラーと、重要な機能における検証の欠如によって可能になったことを特定しました。

脆弱性の技術分析

スマートコントラクトの分析により、影響を受けた機能にいくつかの潜在的な脆弱性が明らかになりました。最初の主要な問題は、悪意のあるアクターが有害なデータを渡すことを可能にする未検証の入力パラメータに関するもので、意図しない動作を引き起こす可能性があります。第二の重要な脆弱性は、無制限のパラメータであり、無許可のコントラクトの実行を可能にする可能性がありました。

|脆弱性 |説明 | |---------------|-------------| | 検証されていない入力 | 悪意のあるデータの入力を許可する可能性があります | | 制限のないパラメータ | 無許可の契約実行の可能性 |

攻撃者の手法

加害者は、攻撃を効率的に実行するために設計された337行のコードからなるカスタムスマートコントラクトを展開しました。悪意のあるアドレスは、分散型取引所から2回の重要なEthereumの送金を受け取り、安定通貨を排出して、それをラップされたイーサリアム(WETH)に変換しました。

盗まれた資金の匿名化

盗難後、攻撃者は不正に得た利益をオンチェーンミキサーサービスに移して資金を匿名化しました。この取引は、その日のサービスの入金量の約半分を占めており、侵害の重要性を浮き彫りにしています。

暗号通貨の盗難のより広範な文脈

この事件は、cryptocurrency関連の犯罪の大きなトレンドの一部です。報告によると、過去5年間で悪意のある行為者が約12億ドルの暗号通貨やその他の仮想資産を盗んでおり、その大部分が1年のうちに発生しています。

DeFiにおけるセキュリティの重要性

Rubicプロトコルの事故は、DeFiスペースにおける堅牢なセキュリティ対策の重要性を浮き彫りにしています。業界が進化を続ける中、プロトコルはユーザー資金の保護を優先し、厳格なスマートコントラクト監査、継続的な監視、潜在的な脅威への迅速な対応メカニズムを確立しなければなりません。

DeFiユーザーへの将来の影響

DeFiプロトコルに関与するユーザーにとって、このイベントはデューデリジェンスの重要性を強く思い出させるものです。ユーザーは、契約の承認を定期的に取り消すこと、追加の保護のためにハードウェアウォレットを使用すること、そして関与するプロトコルのセキュリティ慣行について常に情報を得ることを含む、積極的なセキュリティ対策を講じるべきです。これらのステップは、分散型金融の不安定な世界で資産を守るために不可欠です。