もし分散型アプリケーション(DApp)エコシステムが最近Ledgerの脆弱性のためにリスクにさらされていたと言ったらどうでしょうか? 12月14日、一連の出来事が展開し、DAppエコシステム全体のセキュリティが危機にさらされました。悪意のある行為者がLedgerハードウェアウォレットのコネクタライブラリの脆弱性を発見し悪用し、オンチェーンのアナリストやSushiSwap、MetaMaskなどのDAppから警告が発せられ、ユーザーに対して完全にウォレットとのやり取りを避けるように忠告されました。
Ledgerの脆弱性の理解
攻撃者である今では’Ledger Hacker’は、複数の被害者から65万ドル以上の資産を抜き取ることに成功しました。これはWeb3ユーザーを操り、悪意のあるトークン取引を承認させることで達成されました。ハッカーはフィッシングの脆弱性を利用して元Ledger社員のコンピュータを侵害し、そのノードパッケージマネージャのJavaScriptアカウントにアクセスしました。抜き取られた金額はかなりのものでしたが、リスクにさらされたウォレットやDAppの数を考えると、もっと高額になる可能性がありました。
幸いにも、Ledgerは迅速に対応し、数時間以内にパッチをリリースして<DAppエコシステムのLedgerの脆弱性を封じ込めました。それにもかかわらず、このインシデントは分散型ファイナンス(DeFi)の世界での潜在的なセキュリティリスクを厳しく思い出させるものとなりました。
Ledgerのコネクタを使用するDAppへの影響
Ledgerのコネクタを使用していたZapper、SushiSwap、Phantom、Balancer、Revoke.cashなどのいくつかの分散型アプリケーション(DApp)が侵害されました。セキュリティ侵害が発見されてから約3時間後、Ledgerは悪意のあるファイルの正規版に置き換えられたと報告しました。Ledgerは現在、常にトランザクションを’クリアサイン’し、Ledgerデバイス画面に表示される情報だけを信頼するようユーザーに助言しています。Ledgerデバイスとユーザーのコンピュータや携帯電話の画面に表示される情報に齟齬がある場合は、トランザクションを即座に停止する必要があります。
最近のDeFiインシデント
このLedgerの脆弱性はDeFiセクターにおける最近のインシデントに限ったものではありません。分散型ファイナンスプロトコルであるYearn.financeは、マルチシグネチャスクリプトのエラーによってプロトコルの資金の大部分が抜き取られた後、アービトラージトレーダーに140万ドルを返却するよう懇願しました。同様に、OKX分散型取引所(DEX)は、プロキシ管理者の秘密鍵が漏洩したことにより270万ドルのハッキング被害を受けました。
これらのセキュリティ上の懸念にもかかわらず、Cointelegraph Markets ProとTradingViewのデータによると、DeFiの時価総額トップ100のトークンは、週次チャートでほとんどが緑色で取引されており、ブルッシュな週を過ごしていました。DeFiプロトコルにロックされた総資産の額は600億ドルを超えています。
DeFiスペースの常に進化する中で、最新の動向や潜在的な脆弱性について常に情報を得ることが重要です。cryptoview.ioのようなプラットフォームは、暗号資産を追跡し、最新のニュースに常にアップデートするための貴重なリソースとなり得ます。
