盗難の20代の事件: なぜチェーンアセットがハッカーによって繰り返し盗まれているのですか
本当に成熟した金融インフラは、成長目標の背後にあるセキュリティを維持しません。
タイトル:Rewind 20 Stolen Incidents: サークルが常に盗まれるのはなぜですか
デザイナー: Changan、Biteye
2026年4月、Kelp DAO stole $292百万、Aave の実際の資産を担保なく借りた攻撃者は、46 分で悪い債務で 200 万ドルを上回る。
これは、今年以来、盗難の多くの事件の1つです, と $285 ドリフトによって盗まれた百万, 約 $30 で盗まれた百万 Resolv Labsによって盗まれました, そして、別の後1, 業界が反応することができました, そして、次の盗まれたプロジェクトが出現しました。
これらのイベントの背後にあるパターンはありますか? ハッカーが取引を攻撃する方法は
この紙は、歴史と過去の最も代表的な事例のうち20件を集約し、回答を求めています。
コンパイルした20例によると、3つのクリアパターンがあります
• 技術的なギャップは大部分ですが、単一の損失は比較的限られています。社会的な作品の権限と攻撃の少数のケースは、大部分の損失に貢献します。
:: 認定カテゴリー攻撃のスケールはエスカレートを続けている。 20例では、韓国ハッカーの出現の背後にある損失の4大事件が起きた。
•技術のギャップの地下は移動であり、橋は安全ではありませんでした。
I.トップ10 Stolenプロジェクト
1. プロジェクト名:Bybit(単価:$1.5B | 時間:2025年2月)
盗難のための理由:
北朝鮮ハッカー組織Lazarusグループ(FBIとZachXBTの高信頼アトリビューション、コードネーム「Operation Trader Traitor」)は、フロントエンドのUIハイジャック+複数の署名不正を使用して、安全なウォレットの複数の署名メカニズムを破ります。
攻撃者は最初にBybitのコア開発者装置をinfiltratedし、ウォレットのフロントエンドに悪意のあるJavaScriptコードを注入しました。 複数のシグネチャーホルダー(6つのシグネチャ)が定期的なコールドウォレット転送を実行すると、UIは通常のコレクションアドレスと金額を示しますが、一番下のコールデータは、アッセイントのアドレスに401,000 ETHを改ざんし、リダイレクトされます。 署名者の3/6はトランザクションを承認し、資金は瞬時に失われました。
基礎問題:複数の信号の依存機械相互層は、前面の端が独立して数学的なセキュリティ効果を発揮する検証されていない、; Circe が 24 時間 USDC を凍結しながら、関連する USDT を凍結し、損失を悪化させます。 事件は、中央化学取引プラットフォームへの致命的な脅威として社会的ワーカー+ UI攻撃を暴露し、Safenetなどの取引の認証ネットワークをトリガーしました。
事件は、Driftプロトコル(2026年4月、285Mドル)と非常に似ていました。標的社会労働者は信頼を築き、UI/signatureの不正行為に続いて、契約のループホールから「人間弱さ」へのハッカーのシフトをマークしました。
フォローアップでは、Bybitは、ユーザーがゼロを失い、プラットフォームが現在着実に動作していることを保証するために、全損失をカバーするために独自の資金をすぐに使用しました。
2.プロジェクト名:ロニンネットワーク(総量:$624M時間:3月2022)
盗難のための理由:
韓国のハッカー組織のLazarusグループは、社会工学とバックドア手段を通じて検証ノードの秘密鍵を完全に制御しました。
攻撃者は、Sky Mavis内部システムに侵入し、ガスフリーのRPCノードのバックドアを使用して、9バリデーションノード(4 Sky Mavisノードと1 Axie DAOノードを含む)の5を制御しました。 続いて、彼らは2つの不正な出金取引を構築し、173,600 ETHと25.5M USDCの不正な出金をもたらします。
インシデントの根本原因は、いくつかのノードでブリッジの設計における認証権の高濃度であった。 作業を完了するための9つの署名のうち5の5のしきい値は、社会的労働者によるターゲティングされた攻撃に直面しているほとんど非存在です。
3. プロジェクト名:ポリネットワーク(固定額:$611M時間:8月2021)
盗難のための理由:
PolyNetworkの盗難の中央の理由は、クロスチェーン契約の規制設計の重大なギャップです。
EthCross ChainManagerとEthCross ChainDataの関係を使用して、攻撃者は強制可能な関数を造りました。
EthCrossChainManager 自体は Keeper の公開鍵を修正する力があり、呼び出し時に使われるメソッドパラメータはユーザがカスタマイズできるため、PutCurCouchConKeyBytes 関数が正常に呼び出され、それ以外の場合は高い特権で実行されます。
その結果、攻撃者は、正当な管理者のそれに公開鍵を交換し、クロスチェーンアセットをコントロールし、最終的に複数のチェーンから送金しました。
4. プロジェクトの名前: ワームホール(総量: $326M 時間: 2 月 2022)
盗難のための理由:
通常の状況下では、ユーザーが1つのチェーンから別のチェーンにアセットを移動するためには、システムは最初にアセットが実際に入金されていることを確認し、問題のシグネチャが本物であることを確認しなければなりません。これにより、対応するアセットは他のチェーンで生成されます。
ワームホールの問題は、この「シグネチャの認証」ステップにあります。 Wormhole のコードは 1 つを使用しますそれは出ましたトランザクションが法的かどうかを確認する機能が少なくなります。 署名認証が実際にシステムの前で完了したかどうかを確認する機能です。 しかしながら、その検査は厳格で、攻撃者に利用する機会を与えられました。
このループホールを使用して、攻撃者は、システムがクロスチェーンの動作が現実であると考えるようにするために「検証済み」登場した一連の情報を偽造しました。 言い換えれば、システムは最初に「お金が本当にロックされている」と確信しているはずですが、認証チェーンがバイパスされたため、システムが直接攻撃者によって提出された偽の証明書を信頼しました。
その結果、攻撃者は十分な資産を堆積させることなく、多くのウェルスを作成しました。 これらの資産は、Wormhole の約 $326 百万の損失をもたらす、生成され、さらに移転および変換されました。
5. プロジェクト名: ドリフトプロトコル(総量: $285 M 時間: 4 月 2026)
盗難のための理由:
DPRKハッカーの組織は、6ヶ月のターゲティングインろ過を経験し、Solana耐久性Nonceの事前署名されたスキームと組み合わせて攻撃を完了しました。
2025年の秋以来、攻撃者は量的取引会社として偽装されてきました。国際的な暗号化された会議でドリフトコントリビューターとオフラインの信頼関係を構築し、エコシステムVaultで1億ドル以上投資して信頼性を築きます。 自信を得ると、攻撃者はセキュリティ・カウンシル・メンバーを事前署名された一見無害な取引に陥りました。Solana の s の耐久性のあるノnce メカニズムを使用して、管理指示の転送を隠します。 同時に、Drift は、移行をゼロ遅延に完了しました。また、Windows のポストの検出と介入を排除しました。
合意を調節する権利を得ると、攻撃者は偽のCVTを実際の数百ドルの流動性で登録し、独自の偽造製造価格を販売することにより、合意に担保として500万CVTを入金し、USDC、SOL、ETHで$ 285百万を貸しました。 実装フェーズ全体が12分しか持続しました。
攻撃は、公式のDriftとSEAL 911セキュリティチームがDPRK関連の組織(州主催のハッカー組織)に起因し、韓国の国家ではなく、その制御下にあるサードパーティの仲介者によって属性付けられました。
6. プロジェクト名:WazirX(単価:$235M :7月2024)
盗難のための理由:
攻撃のコアは、ウォレットの段階的な違反と、悪意のある契約でその出来事の交換でした。
攻撃者は、まず、釣りなどでいくつかの署名者(直接攻撃と署名の誘導を含む)の権限を獲得しました。 そのため、他のサイネータは偽造されたインターフェイスによって誤認され、知識なしで悪意のあるトランザクションを承認することができました。
十分なシグネチャを収集した後、攻撃者は直接アセットを転送しませんでしたが、代わりに複数のウォレットを使用しましたアップグレード可能なメカニズム契約アップグレードの演習は、その展開のための悪意のある契約で元のパフォーマンス契約を置き換えるために行われました。
悪意のあるコントラクトが新しい実装ロジックとして設定されると、その後のすべてのトランザクションがリダイレクトされ、資金は引き続き攻撃者 ' アドレスに流れます。 最終的には複数の財布の制御が完全に取り引きされ、チェーンアセットが徐々に転送されます。
7. プロジェクト名:セタス(総量:2,23M |:2025年5月)
盗難のための理由:
合意のギャップからアローズ攻撃 ' 液体の計算。
具体的には、Cetusが大量の数値を処理するために使用する数学関数に境界エラーがあります。 値が重要なポイントに達すると、システムは正しくインディングスピルを特定せず、計算し続け、異常に拡大された結果をもたらします。
攻撃者は、この周りのプロセスを構築しました
大規模な取引によって極端な価格条件が作成され、流動性位置は特定のゾーンで作成され、非常に少ない資産が投資されます(業界レベル)。 これらの条件下では、契約中のスピルジがトリガーされ、攻撃者は実際の入力よりもはるかに流動性のシェアを受け取るべきであることを計算するシステムが主導しました。
続いて、攻撃者は、これらの増幅された株式を使用して、流動性操作の除去を実行し、投資されたよりもプールから多くの資産を抽出しました。 プロセス全体が繰り返すことができ、最終的に大規模な損失をもたらすプールからの資金の継続的な撤退をもたらす。
8。 プロジェクトの名前: ガラゲーム(総量:$ 216 M時間:5月2024)
盗難のための理由:
この攻撃のコアは、権限の高いコインアカウントに秘密鍵が壊れ、アクセス制御が失敗したことです。
ガラの契約自体は、イント機能に制限がありますが、マイナーアカウントのキーホルダーの1つが取得されます。 口座は長時間使用していませんが、完全かつ高い特権を保持しています。
口座の制御を得ると、アッセイントは直接契約「シニョレージ」と呼ばれ、約5億GALAトークンを鋳造し、個人住所に転送します。 続いて、攻撃者はコインをETHに変換し、それらをキャッシュしました。
プロセス全体がスマートコントラクトのループホールを利用しなかったが、悪意のある行為を法的権限で直接遂行した。
9. プロジェクト名:Mixin Network(総称:$200M時間:9月2023)
盗難のための理由:
攻撃の心臓は、Mixinが集中的に管理されたクラウドデータベースに秘密鍵を保有していたことです。
Mixin Networkは、48のパブリックチェーンのクロスチェーン転送をサポートするために、35メインノードが共同で維持されていると主張していますが、そのホットウォレットとプライベートキーは多数の預金アドレスに「回復可能な」方法でサードパーティのクラウドサービスプロバイダのデータベースに保存されます。 2023年9月23日の早朝に、攻撃者はデータベースに入り、大量の秘密鍵を抽出しました。
秘密鍵が取得されると、不安定な契約ロジックをクラックし、法的な容量で直接転送に署名する必要はありません。 チェーンレコードは、残高が低い順で、約95.3百万ETH、$23.7百万BTC、$23.6百万USDTを含む主要なアセットを含む10,000以上の取引が数時間持続する、という点で、そのアドレスを強調したことを示しています。
10. プロジェクト名:ユーラー・ファイナンス(盗まれた金額:2023)
盗難のための理由:
攻撃の心臓部は、基礎資産と責任の計算ロジックとフラッシュ施設による悪用の間の矛盾でした。
具体的には、EulerのDonateToReserve関数は、mortgageアセットを表すeTokenだけを破壊しましたが、同時にdTokenを破壊し、負債を表し、システムの「担保」と「信頼性」対応の故障を引き起こしました。
このような場合、契約は、意図した資産の減少と債務の構成の変更が異常な資産状態を作成することを誤って考慮します。
攻撃者は、この周りの操作手順のセットを構築しました
まず、フラッシュローンを通して大量のお金を借り、契約書に入金して融資し、eTokenとdTokenの量を再設計します。 上記の論理的欠乏を使用して、システムは、誤った資産/信頼性の位置を生成し続けています。これにより、実際の担保容量を超える借用ラインを得ることができます。
非常に高められた貸し能力を得ると、攻撃者は資金をバッチで引き出し、さまざまな資産(DAI、USDC、stETH、wBTC)を介してそれらを転送します。 プロセスは単一のトランザクションで完了し、複数の操作で、手順は増幅され、約$ 197百万の損失が発生しました。
2。 10 最近盗まれたプロジェクト
1. プロジェクト名:Hyperbridge社(総称:約2.5億ドル、2026)年4月
盗難のための理由:
本イベントの心臓部では、トークン・ゲートウェイ・ロジックが侵害されるという証拠です。
MMR(Merkle Mountain Range)を使用して、入力検証が欠落していることを証明するために、攻撃者は通過しないクロスチェーン証明書を鍛造しました。 システムの誤って、この無効な証明書を有効な証拠として扱いました, 攻撃者は、EtherjectでDOT契約にアクセスするためのさらなる規制当局を与えられました, その後、いくつかの発見しました 1 億偽の橋渡しDOTs そして、デックスでそれらを販売。
同時に、攻撃は、Ethereum、ベース、BNBチェーン、ArbitrumのDOTプールにも影響し、その後、当局が正式に修正し、約237,000ドルの推定損失を反映させました。
2. プロジェクトの名前: Venus プロトコル(総称:約 $3.7 から $5 百万、月 2026)
盗難のための理由:
この攻撃の心臓部では、バイパスできるsurply capの検証であり、過給為替レート計算のロジックが使用されます。
具体的には、市場資金の計算中に、 Venus は直接、コントラクトの実質的なバランスを読むために Balanceof() を使用します。ただし、サブプライキャップの制限は mint() プロセスでのみチェックされます。
vToken契約に直接下部アセット(ERC-20転送)に転送することで、攻撃者はmint()を迂回し、エクステンションキャップ検証を回避しました。
これらの資金は契約残高に含まれているため、システムは交換レートを計算するプールアセットと見なしましたが、対応するvTokenの数量が増加しなかったため、異常に高い為替率が得られます。
このような場合、攻撃者の手に元の担保資産の価値が増幅され、実際の借入金能力よりもはるかに高い。
続いて、攻撃者は、強化された担保値を使用して、繰り返し借りて価格を調達し、サイクルから借り、合意から複数の資産を抽出し、約5億ドルの損失をもたらします。
3. プロジェクト名:Resolv Labs(総量:約$ 23〜$ 25百万、3月2026)
盗難のための理由:
攻撃の心臓は、署名への鍵の遮断だったし、チェーン契約はコインにキャップを持っていません。
ResolvのUSRキャスティングプロセスはチェーンベースのサービスに依存しています。ユーザーはリクエストを提出し、特権鍵(SERVICE ROLE)を保持するシステムで署名し、最終的に契約はファウンドリーを実行します。
しかし、契約自体は、署名が有効であるかどうかを調べるだけでなく、キャスティングの数が合理的かどうかを検証しません。担保比率、価格の予後または最大キャスティング制限はありません。
プロジェクトの ' s クラウド インフラストラクチャを侵害し、独自の法的シグネチャを生成することができるように、シグネチャ プライベート キーを取得しました。
署名の許可を得て、攻撃者は、入力としてUSDC(約10万ドルから20万ドル)の小さな数を使用して、パラメータを改ざんし、担保のサポートなしで約8百万USRを直接鋳造しました。
続いて、これらの非担保USRはすぐに他の安定した通貨に変換され、最終的にETHに移行し、資金は次第に転送され、追加の供給の大量はUSR価格の迅速な故障につながりました。
4. プロジェクト名:佐賀(総量):約7千万ドル、1月2026)
盗難のための理由:
この攻撃のコアは、EVMプレコンパイルブリッジの欠陥検証ロジックです。
SagaEVM は Ethermint に基づいて EVM を使用し、チェーンブリッジ全体でトランザクション検証ロジックに影響を及ぼすコードには検出されていないループホールがあります。
特定のトランザクションを構築することで、攻撃者は橋を渡して、封入された資産が堆積され、「安定的な通貨供給制限」されたかどうかを確認します。
円周の証明の場合には、システムは正当な交差鎖の操作としてこれらの造られた情報を扱い、プロセスに従う安定した通貨の対応する量を造ります。 実際の担保サポートがない場合、攻撃者は費用なしで大量の安定した通貨を占有し、契約の実質の資産にそれを変換することができます。
結局、合意された資金は一貫して撤退し、安定した通貨が切れ、約7億ドルの資産が移転しました。
5. プロジェクト名:ソルブ(総量:約$2.5百万、3月2026)
盗難のための理由:
攻撃の心臓部は、BRO Vault契約のダブルコインギャップ(再エントリー)でした。
具体的には、ERC-3525アセットを受け入れると、ERC-3525がERC-721に基づいている間、契約コールdoSafeTransferinを呼び出し、セキュリティ転送プロセス中にonERC 721が転送を受けトリガーします。
このプロセスでは、契約は、メインプロセスで鋳造コインを実行し、バックツーバック機能では、別の鋳造コイン操作を引き起こしました。
再コールは、最初の分離が完全に完了していない前に行われたので、アッセイントは、典型的な再入国経路を形成するために、単一の預金操作で2回コインをトリガーすることができます。 ループホールを繰り返し使用することにより、攻撃者はBROの大量の資産を増幅し、それらをSolvBTCに変換し、それらを転送しました。
6. プロジェクトの名前: エイブ(間接的に影響を受けた、悪い債務リスク 約$ 177百万から$ 236百万の4月2026)
盗難のための理由:
このイベントの即時のループホールは、Aave ではなく、Kelp DAO のクロスリンク認証メカニズムは失敗しました。
攻撃者は、実際にETHに置くことなく、約116,500のrsETHの誤ったリリースと鋳造につながるLayerZeroに基づいて、インターチェーンブリッジに偽のメッセージを送りました。 これらの rsETH は実際の資産ではサポートされていませんが、システム内の通常の担保として使用されます。
その結果、攻撃者は、これらの非担保化された rsETH を Aave に担保として入金し、多数の実質資産(WETH)を借りました。 Aave の s パラメータのセットアップは、大規模な住宅ローンと融資を可能にするため、攻撃者は融資を完了し、短時間で資金を転送します。
最終結果は以下の通りです攻撃者は、「担保資産の調達と実質資産の貸借」によるAaveにリスクを移し、大規模な債務を作成します。
7. プロジェクト名: yieldBlox (総量:約$ 10.2百万、2月2026)
盗難のための理由:
この攻撃の中心は、機械価格が単一のトランザクション(低モビリティ+ VWAPメカニズム)によって操作できる予測です。
攻撃の前に、USTRY/USDCトランザクションは少し流動性があり、予測者の価格ウィンドウで通常の取引はありませんでした。 yieldBlox によって使用される反射板の予言は、単一のトランザクションが価格を決定することができる VWAP に基づいています。
攻撃者は、極端な価格(約500 USDC / USTRY)を吊り下げて約10,6ドルに予後価格を首尾よく上げ、別のアカウントを使用して、非常に少量(約0.05USTRY)で取引を完了しました。
価格が増幅された後、攻撃者によって行われたUSTRYは、体系的に高値の担保として扱われ、したがって、実際の値よりもよく借りる線を取得します。 続いて、攻撃者は直接資金の引き出しを完了するためにプール内のすべての資産(XLMおよびUSDC)を貸与します。
8. プロジェクト名:ステップ・ファイナンス(総額:約30万ドルから1月2026)
盗難のための理由:
攻撃の心臓部は、プロジェクトのコアメンバーの機器の故障で、秘密鍵や署名プロセスの損失が発生しました。
攻撃者は、ハッキングチーム ' s の執行機器を介してプロジェクト ' s ウォレットにアクセスしました。 そのような訪問には、管理者が知識なしで悪意のある取引を承認することを可能にするために悪意のあるプロセスを埋め込むことによって、トランザクション署名プロセスへのプライベートキーまたは干渉への直接アクセスのいずれかが含まれる場合があります。
コントロールの買収後、攻撃者は、プロジェクトが管理する複数のSolanaウォレットを運営し、不利な資産を解放し、資金を転送することを含みます。 プロセス全体がスマートコントラクトのギャップに対処しなかったが、獲得したウォレットの特権を直接使用して資金の送金を完了させました。
最終的には、プロジェクト資金の大規模な転送は、約30万ドルの損失をもたらし、トークンの価格の急激な低下を引き起こしました。
9. プロジェクト名:Truebit(総量:約$26百万、1月2026)
盗難のための理由:
この攻撃の中心は、TRU購入価格設定機能の整数ギャップです。
BuyTRU() の価格計算では、複数の大きな乗算と追加が関与していましたが、契約はSolidity 0.6.10 でコンパイルされ、デフォルトではこぼれませんでした。
攻撃者が特定の大きなパラメータを入力すると、中間計算が上書きされ、値が丸められ、異常に低くても購入価格がゼロになります。
この場合、攻撃者はTRUを非常に低くてもゼロコストで大量に購入することができます。
契約(sellTRU())の販売ロジックは、通常の規則に従ってまだ計算され、契約中のETHはプロラタを変換することができます。
攻撃者は繰り返します
低価格でTRUを購入する
取引の複数のラウンドを通じて合意からの資金の継続的な引き出しは、約$ 26百万の損失をもたらしました。
10. プロジェクト名:マキナ(総量:約$4.1百万、1月2026)
盗難のための理由:
攻撃のコアは、AUM / sharePrice計算の外部曲線プールデータに依存していました。これは検証されず、フラッシュマネーによって操作されました。
攻撃者は、落雷ローンを介して大量のお金を借り、一時的に液体を注入し、いくつかの曲線プールで取引し、人工的にプールの状態と関連計算(例えばLP値、witdraw計算など)を変更しました。
これらの操作データは、AUM(アセットマネジメントの規模)の計算と、さらに影響を受けるSharePriceの合意によって直接使用されました。
外部データの有効な検証や時間の重みの欠如のために、システムはこれらの異常を実際の値として扱います
• AUMが大幅に増加しました
• シェアプライスは非常に増幅されます
SharePriceのリフティング後、攻撃者は利益を得るためにDUSD / USDCプールから資産を仲裁するために価格の差分を使用しました。
3。 20件のインシデントの共通パターンと変化
これらの20件のインシデントから、私たちは実際にますますます明確な傾向を見ることができます。ハッカーが巨大な資産を盗むことができる唯一の2つの方法があります:技術ループホールと社会工学。
1. 技術的なループホール:明確なマイグレーション パスは技術的なギャップの場合の配分で見ることができます。
初期の技術的なループホールは、橋、最速成長、最新のコード、およびその段階で最も弱い監査されたインフラに集中しました。 大量の資産を運ぶが、まだ十分な対立テストを経験していない。
業界は、クロスチェーンブリッジのセキュリティに重点を置き、認証メカニズムは一般的に強化され、橋の大規模な技術的なギャップを大幅に削減しました。 しかし、ループホールは消えませんでした、それはちょうど別の場所で起こった - DeFi協定内の数学的論理、予後機械の設計、およびサードパーティの銀行に対する信頼性への。
•セタス:数学ライブラリの境界は間違っている、
• Truebit: コンパイラの古いバージョンからインテガースピル、
• yieldBlox:予言のための低液体の市場で大いに信頼。
この背後にある唯一の本質があります。攻撃の顔は、常にアセットに従い、コードの古い新しい寸法と新しい寸法に従い、監査のブラインドゾーンに従います。 特定の種類のインフラをターゲットにし、業界は焦点を合わせ始め、防衛を強化し、攻撃者は次の最速成長と最も弱い防衛に移動します。
社会作品: これらの20の症例のうち、4は韓国の国家ハッカー組織ロニン、WazirX、Bybit、Driftに識別され、合計$ 2.5億の損失が認められています。
Chainalysisによると、関連するハッカーの北朝鮮協会は、2025年に暗号化資産で2億ドル以上盗まれ、その年に盗まれた全体的な暗号化の約60パーセントを占めています。 2024年と比較して、民主人民主人民共和国のハッカー攻撃数は74パーセント減少しましたが、攻撃あたりの平均額は大幅に上昇しました。
また、北朝鮮ハッカーは、ロニン期間中の内部システムの直接侵入から、ビット内のチェーン攻撃を供給し、ドリフトの6ヶ月ラインの浸入まで、既存のラインの外側の新しいアプローチを見つけるたびに、エスカレートを続けてきました。
韓国語ハッカーもグローバル暗号化業界に組み込まれているのは、ターゲット会社に入ると、内部システムの構造をマッピングし、コードリポジトリにアクセスし、静かにプロダクションコードのバックドアにそれらを差し込みます。
盗まれた影響の範囲は広まっています:盗難の初期のインシデントは、合意自体に大きく制限されますが、DeFiはより凝集され、単点の影響が外部に送信されるようになりました。
:: ドリフト:盗難後、そのモビリティや戦略に依存する少なくとも20の合意が中断、中断、または直接失われたと、ニンジンプロトコルのTVLの50パーセントが影響を受けた。
• Aave: Aave の契約自体は完全に非problematic であり、単に Kelp DAO の rsETH を担保として受け入れることによって、外部橋の失敗は Aave の悪い債務リスクを直接送信しています。
これらのパターンは、最終的に現実を指す:合意の資産を預金するだけでなく、合意のコードを信頼する。 同時に、各外部資産の判断と運用セキュリティを信頼し、各第三者サービス、管理当局を有する者。
最近では、もう一方、ポリマーケットは今月のみ行ってきました。「今年100M以上盗まれた通貨リングプロジェクトはありますか?」と、月前に市場を終わらせました。 DeFiの資産が規模で成長しているという事故はなく、契約間の信頼性は深まっていますが、お金を維持する能力はこれをペースに保つものではありません。
セキュリティの圧力はまだ緩みませんが、脅威の寸法は増加しています。2000年4月、Claude Mythos PreviewはAnthropicによってリリースされ、各主流オペレーティングシステムとブラウザで数千の高リスクホールを発見し、既知の穴の72パーセントを利用可能な攻撃パスに変換できるようになりました。
この機能により、システム的にスキャンされたスマートコントラクトが行われると、DeFi業界におけるループホールは、これまでにない速度で発見および活用されることを意味します。 同時に、プロジェクトパーティーは、このツールを積極的に使用して、自己検査を実施し、潜在的なリスクを事前に特定および修復し、独自の安全保護機能を強化することができます。
普通のユーザーの場合、これらのケースはすぐに次の情報を提供できます
1.資産を単一の合意に集中しないでください。分散型ストレージは、リスクを完全に排除しないまま、単一の損失の上限を制御します。
2.新しい合意からの距離を保ちます。契約がオンラインで行なわれた後、ほとんどの技術穴が早期発見されました。 2年間運用してきた契約は、監査と実質のストレステストの複数のラウンドを受けており、オンラインで高いリターンを与える契約よりもはるかに安全です。
3.契約が本当に有益であるかどうか。利益供与契約が見つかった場合、損失が発生した場合に支払うべき実力。 トークンのインセンティブで動作し、自分の収入を持っていない契約、およびインシデントの場合、補償プログラムは、多くの場合、新しいコインや図面に限定されています。
本当に成熟した金融インフラは、成長目標の背後にあるセキュリティを維持しません。 盗まれたニュースは、その日が来るまで止まりません。
オリジナルリンク
