Web3ハッカーの攻撃手法の分析:2022年上半期のセキュリティインシデントのレビューと分析

2025-07-29 15:18:17

概要作成中

Web3ハッカーの一般的な攻撃手法の分析:2022年上半期の振り返り

2022年上半期、Web3分野でのセキュリティ事件が頻発し、ハッカーの攻撃手法が次々と現れました。本稿では、この期間に一般的な攻撃方法を深く分析し、業界に有益な参考を提供することを目指します。

あるブロックチェーンセキュリティ監視プラットフォームのデータによると、2022年上半期にスマートコントラクトの脆弱性によって引き起こされた主要な攻撃事件は合計42件で、全体の攻撃手法の約53%を占めています。これらの事件による総損失は6.44億ドルに達しました。

すべての悪用された脆弱性の中で、論理的または関数設計の欠陥はハッカーが最も頻繁に利用するターゲットであり、次に検証の問題と再入侵の脆弱性があります。

2022年2月3日、SolanaエコシステムのクロスチェーンブリッジプロジェクトWormholeがハッカーに侵入され、約3.26億ドルの損失を被りました。攻撃者は契約内の署名検証の脆弱性を利用し、システムアカウントを偽造して大量のwETHトークンを鋳造することに成功しました。

2022年4月30日、Fei ProtocolのRari Fuse Poolがフラッシュローンと再入攻撃を組み合わせた攻撃を受け、8034万ドルの損失が発生しました。この攻撃はプロジェクトに致命的な打撃を与え、最終的にFei Protocolは8月20日に正式に閉鎖することを発表しました。

攻撃者は次のステップを通じてこの攻撃を実施しました：

Balancerプロトコルからフラッシュローンを取得する 2.借りた資金を使用して、RariCapitalに対して借り入れます
Rari CapitalのcEther契約には再入可能性の脆弱性が存在し、攻撃者はコールバック関数を構築することで、影響を受けたプール内のすべてのトークンを成功裏に引き出しました。
フラッシュローンを返済し、利益を指定されたコントラクトに移転します。

この攻撃では、28380以上のETHが盗まれ、約8034万ドルに相当します。

スマートコントラクト監査で最も一般的に見つかる脆弱性は、主に4つのカテゴリに分けられます：

ERC721/ERC1155の再入攻撃：これらの標準の安全な転送関数を使用する際、受取先のコントラクトに悪意のあるコードが含まれている場合、再入攻撃が発生する可能性があります。
ロジックの欠陥：特殊なシナリオの考慮不足（例えば、自分自身への送金による無から有の創出）や機能設計の不備（例えば、引き出しや清算メカニズムの欠如）を含む。
権限管理の欠如：重要な機能（例えば、コインの発行、役割設定など）が適切な権限チェックを欠いています。
価格操作リスク：時間加重平均価格を使用していない場合、または契約内のトークン残高の割合を価格の基準として直接使用している場合。