メインコンテンツまでスキップ

「DeFi」タグの記事が11件件あります

全てのタグを見る

Radiant Capital ハック:北朝鮮ハッカーが単一の PDF を使用して数億ドルを盗む方法

· 約4分

2023 年に発生した最も高度なサイバー攻撃の一つで、LayerZero 上に構築された分散型クロスチェーンレンディングプロトコル Radiant Capital が約 $50 million をハッカーに奪われました。この攻撃の複雑さと精密さは、国家支援を受けた北朝鮮ハッカーの高度な能力を示し、暗号資産セキュリティにおける限界を押し広げました。

Radiant Capital ハック:北朝鮮ハッカーが単一の PDF を使用して数億ドルを盗む方法

完璧なソーシャルエンジニアリング攻撃

2023 年 9 月 11 日、Radiant Capital の開発者が無害に見える Telegram メッセージを受信しました。送信者は元請負業者を装い、スマートコントラクト監査に転職したと主張し、プロジェクトレポートへのフィードバックを求めました。この種の依頼は暗号開発のリモートワーク文化で頻繁に見られ、ソーシャルエンジニアリング手法として特に効果的です。

攻撃者はさらに、偽のウェブサイトを作成し、正規のドメインに極めて似せた外観で信憑性を高めました。

トロイの木馬

開発者がファイルをダウンロードし解凍すると、標準的な PDF ドキュメントに見えました。しかし実際には「INLETDRIFT」という悪意ある実行ファイルが PDF アイコンで偽装されていました。開くと macOS にバックドアが静かにインストールされ、攻撃者のコマンドサーバー(atokyonews[.]com)と通信を開始しました。

感染した開発者はフィードバックを求めてこのファイルを他のチームメンバーに共有したため、マルウェアは組織内に拡散しました。

高度な中間者攻撃

マルウェアが配置された状態で、ハッカーは正確にターゲットを絞った「ベイト・アンド・スイッチ」攻撃を実行しました。チームメンバーが Gnosis Safe のマルチシグウォレットを操作している際に取引データを傍受し、ウェブインターフェース上では正常に見える取引でも、Ledger ハードウェアウォレットに到達した時点でマルウェアが取引内容を書き換えていました。

Safe のブラインドサイン機構により、メンバーは実際に transferOwnership() 関数呼び出しに署名していることに気付かず、貸出プールのコントロールがハッカーに移譲されました。これにより、プロトコルに認可されたユーザ資金がハッカーに流出しました。

迅速な痕跡除去

盗難が判明した直後、ハッカーは驚異的なオペレーショナル・セキュリティを示しました。わずか 3 分でバックドアとブラウザ拡張機能をすべて削除し、痕跡を完全に消去しました。

業界への重要な教訓

  1. ファイルダウンロードは絶対に信用しない:チームは Google Docs や Notion といったオンライン文書ツールの使用を標準化し、ファイルやリンクの直接開封を禁止すべきです。例として OneKey の採用プロセスは Google Docs のリンクのみ受け付け、他のファイルやリンクは一切開かない方針です。

  2. フロントエンドのセキュリティは必須:この事件は、攻撃者がフロントエンドで取引情報を簡単に偽装でき、ユーザーが悪意ある取引に気付かず署名してしまう危険性を示しています。

  3. ブラインドサインのリスク:ハードウェアウォレットは取引概要を過度に簡略化して表示するため、複雑なスマートコントラクトの実体を検証しにくくなります。

  4. DeFi プロトコルの安全策:大量の資金を扱うプロジェクトはタイムロック機構や堅牢なガバナンスプロセスを導入すべきです。これにより、疑わしい活動を検知・対応するためのバッファ期間が確保されます。

Radiant Capital のハックは、ハードウェアウォレットや取引シミュレーションツール、業界ベストプラクティスを導入していても、熟練した攻撃者が依然としてセキュリティを突破できることを痛感させる警鐘です。暗号資産セキュリティは常に警戒を怠らず、進化し続ける必要があります。

業界が成熟するにつれ、これらの事例から学び、ますます高度化する攻撃ベクトルに耐えうる堅牢なセキュリティフレームワークを構築していくことが求められます。DeFi の未来はそれにかかっています。

DeFi 市場の変化する風景に対する新たな視点

· 約4分
Dora Noda
Software Engineer

暗号通貨の世界では常に新たなナラティブが次々と生まれ、絶え間ない話題が飛び交っています。上海アップグレード、BRC20、ミームコイン、半減期現象などが大きく取り上げられる一方で、2020 年の「DeFi サマー」は、暗号世界のナラティブ循環における重要な節目でありながら、ほとんど忘れ去られています。しかし、3 年が経過した今、DeFi 分野で注目すべきいくつかの動きが見られます。

DeFi 市場の変化する風景に対する新たな視点

DeFi への関心低下

2020 年の「DeFi サマー」以降、分散型金融(DeFi)エコシステムは大きく進化し、分散型取引所、レンディングプラットフォーム、デリバティブ、固定金利ツール、アルゴリズム型ステーブルコイン、資産シンセティック、アグリゲーターなどのイノベーションが登場しました。

しかし、2021 年 5 月にピークを迎えた後、UNI、LINK、SUSHI、SNX といった従来の DeFi ブルーチップは下降傾向にあります。Uniswap や Synthetix といった主要プロジェクト、そして「DeFi 2.0」配下の OHM などの新規参入も、市場のスポットライトから徐々に遠ざかっているようです。かつて暗号世界の寵児であった DeFi ナラティブは、NFT、DAO、メタバース、Web3 といった新興ナラティブに影を潜めています。

根本的に、ほとんどの DeFi 製品が提供するサービスは類似しており、ブランド力とユーザーの粘着性で差別化できるのはごく一部のプロダクトだけです。多くのプラットフォームはネイティブトークンでユーザー参加をインセンティブ化していますが、これらの流動性報酬は一時的に TVL(総ロック価値)を膨らませるものの、長期的には持続不可能であり、より高利回りの機会が現れると資金が急速に移動します。このダイナミクスが 2020 年以降、DeFi トークン価格全体の下落トレンドを招いています。

DeFi 空間のイノベーション

二次市場での DeFi トークンの低迷を無視しても、DeFi 領域内では興味深い変化が進行中です。特に、Curve や MakerDAO といった主要プロジェクトが製品ラインを多様化し、異なる DeFi プロトコル間の境界が曖昧になっています。

従来 DAI ステーブルコインで知られる MakerDAO は、Spark Protocol の立ち上げでレンディング領域へ進出しました。このプロトコルは Aave V3 のスマートコントラクト上に構築され、ETH、stETH、DAI、sDAI などの資産を借り入れることが可能です。これは戦略転換として顕著であり、ステーブルコインとレンディング機能の大きな重なりを示唆しています。

同様に、レンディングサービスで名高い Aave も、担保裏付けでドルにペッグされたネイティブ分散型ステーブルコイン GHO の発行を計画しています。MakerDAO と Aave のレンディングメカニズムはどちらも Aave V3 スマートコントラクトを基盤としており、従来領域外への挑戦でどちらが成功を収めるか注目されます。

大規模な資産交換サービスで知られる Curve も最近、独自ステーブルコイン crvUSD をリリースしました。Curve の流動性優位性を活かし、crvUSD はステーブルコイン競争において先行優位を持つようです。

これらの DeFi ブルーチップの中で、Frax Finance は流動性担保化で顕著な進展を遂げています。2022 年 10 月にリリースされた frxETH は、わずか 200 日で約 22 万トークン、時価約 4 億ドルに達するという驚異的な成長を示しています。

結論

流動性インセンティブに過度に依存していた DeFi プロジェクトの持続可能性は常に疑問視されてきました。この現実が、主要 DeFi プロトコルに製品ラインの多様化とイノベーションを促し、従来の境界線を越える動きを生み出しています。