ホームページ  >  記事  >  Cobo セキュリティ チーム: 強気の DeFi インタラクティブ ガイド

Cobo セキュリティ チーム: 強気の DeFi インタラクティブ ガイド

WBOY
WBOY転載
2024-02-28 16:10:071132ブラウズ

近年、DeFi(分散型金融)の分野が注目を集めており、その革新性やリスクの高さも話題となっています。強気市場では、DeFiプロジェクトが活況を呈しており、多くの投資家の注目を集めています。機会と課題に満ちたこの分野では、資産の安全性をどのように確保するかが投資家にとって共通の焦点となっています。 Coboセキュリティチームは、投資家がDeFiエコシステムのリスクと機会をよりよく理解して把握するのに役立つ貴重な参考資料とガイダンスを提供する「強気市場DeFiインタラクティブガイド」をリリースしました。

Cobo 安全团队:牛市 DeFi 交互指南

2019 年の DeFi Summer の開始以来、イーサリアムを筆頭に、ますます創造的な分散型金融プロトコル (DeFi プロトコル) が登場し、その可用性が大幅に強化されました。オンチェーン資産により、ブロックチェーンユーザーはオンチェーン資産をより効果的に活用して、より多様な金融活動を実施し、大きな利益を生み出すことができます。しかし、DeFiプロトコルの台頭が進むにつれ、セキュリティ上の課題も生じています。不完全な統計によると、2023 年だけで、ブロックチェーン攻撃による資産損失は 26 億 1,000 万米ドルに達しています。 DeFiプロトコルに参加する過程では、対応する収益期待の評価に加えて、プロトコルの安全性の評価も無視できず、そうでなければユーザーに大きな損失をもたらすことがわかります。

一般的に言えば、プロトコル セキュリティ評価の現在の主流の定義はコード セキュリティ評価です。この定義の次元は比較的単一です。ここでの問題は、評価自体がプロトコルの静的プロセスのみを考慮していることです。 DeFiのインタラクションプロセス、セキュリティは多くの場合、アカウント管理、プロトコルインタラクション前の準備、インタラクション完了後の資産管理、データモニタリングと極端な場合の資産損失後の自己救済などの段階を含めて動的です。

DeFi 初心者村に入ろうとしているユーザーとして、収入を得ながら資金の安全性を最大限に高めるにはどうすればよいでしょうか? Cobo セキュリティ チームは、強気市場におけるすべての DeFi セキュリティ インタラクションを刺激し、支援することを期待して、DeFi インタラクションにおける一般的なセキュリティ リスクとそれに対応するセキュリティ予防策を整理しました。

DeFi インタラクションにおける一般的なセキュリティ リスクと予防策

1. アカウントの秘密キーの漏洩

アカウントの秘密キーの漏洩は、現時点では初心者ユーザーにとって比較的簡単です。詐欺の問題の 1 つは、現在市場に出回っているウォレットの種類が多岐にわたるため、初心者ユーザーには自分のウォレットの安全性を判断する能力が欠けていることです。多くの初心者ユーザーは安全でないウォレットをダウンロードし、それを使用して秘密鍵を生成します。悪意のある情報が攻撃者に送信され、秘密キーが漏洩します。多くの経験豊富なユーザーは、特定の日にすべての資産がメイン アカウントから移管されたことを発見しました。その日のほとんどの分析の後、すべての動作が正常であることがわかりました。これらのケースのほとんどでは、アカウントは安全でないウォレットを使用して、独自の秘密鍵。秘密鍵は長い間漏洩されています。

同時に、ブロックチェーン エアドロップによって引き起こされる富効果により、多くの初心者ユーザーは、いわゆるエアドロップ Web サイトを盲目的にクリックします。これらのエアドロップ Web サイトは、非常に本格的なプロジェクト Web ページにパッケージ化されており、ユーザーに次のことを伝えます。大量の未請求のアイテムです。利益を追求する多くの初心者ユーザーは、Web ページに誘導されて自分のアカウントの秘密キーを入力し、秘密キーが漏洩することになります。

秘密鍵の漏洩を防ぐために、ユーザーは次のことを行う必要があります:

有名なブロックチェーンウォレットを選択し、公式からダウンロードすることをお勧めします。 Webサイト。資格のあるユーザーには、資産のセキュリティを向上させるためにハードウェア ウォレットを使用することをお勧めします。

秘密キーをプレーン テキストでインターネットに公開したり、任意の Web ページに秘密キーを入力したりしないでください。

2. 署名フィッシングのリスク

署名フィッシングのリスクは秘密鍵の漏洩と同じであり、初心者ユーザーにとって最も大きな被害を受ける領域でもあります。ユーザーに秘密キーの入力を直接求めるのとは異なり、このタイプのフィッシング攻撃は、ユーザーにトランザクションや署名を開始させてユーザー関連資産の承認を取得するように誘導します。隠蔽性が高く、分析が困難で、検出も困難です。

通常、攻撃者はまずユーザーをフィッシング Web ページに誘導し、エアドロップの受信やログインの確認などの名目でユーザーに署名を開始するよう求めます。このとき、ユーザーのブラウザ ウォレットは、ユーザーが署名を完了します。

フィッシング取引にはさまざまな種類があります:

直接転送タイプ。 ETH を直接転送するか、ERC20 転送呼び出しを行ってウォレット資産を攻撃者のアドレスに転送します。

承認タイプ。 ERC20 Approve メソッドを呼び出して、攻撃者のウォレットを承認します。ユーザーが署名しても、資産の譲渡は発生しません。ただし、攻撃者のウォレットは、transferFrom を呼び出すことでユーザー資産を転送できます。

EIP712 メッセージ署名。 ERC20 Permitメソッド、Permit2認可、NFT保留注文署名など。このような署名は通常、Json データまたは適切にフォーマットされたツリー データとしてウォレットに表示されます。ユーザーが署名してもトランザクションは開始されず、ガスの消費もありません。ただし、署名結果はフィッシング Web サイトによって記録され、攻撃者は署名結果を使用して被害者の ERC20 または NFT 資産を転送する可能性があります。

元のハッシュ署名。 署名データは16進数のハッシュデータであり、署名データそのものから具体的な署名内容を推測することはできません。ハッシュの背後には上記の 1 ~ 3 種類のデータが含まれる可能性があります。署名により資産が失われる可能性があります。ただし、現在の主流のウォレットでは通常、この署名方法が禁止されているか、明らかなリスク警告が提供されています。

最近のケースでは、一部のフィッシング Web サイトではユーザーが連続して複数の署名を行う必要があり、最初のいくつかの署名は無害で通常の署名であることが判明しました。次に、悪意のあるシグネチャを混ぜます。ユーザーの操作の慣性を利用して、ユーザーが署名操作を完了するように誘導します。

フィッシングによる経済的損失を防ぐためには、ブラインド署名を拒否することが重要です。各署名を注意深く確認し、内容が不確かな取引への署名を拒否してください。具体的には、署名プロセス中に次の点に注意することができます。

インタラクティブ Web サイトが DeFi プロジェクトの公式 Web サイトであることを確認し、完全なドメイン名を確認します。

転送メソッドと承認メソッドを中心に、コントラクトによって呼び出されるメソッドを確認します。

トランザクションに添付された ETH 送金を確認します。一部のフィッシング Web サイトは、安全に見えるメソッド (Claim など) を構築しようとしますが、実際には呼び出し時に ETH 転送が含まれるため、ETH などのチェーンネイティブ トークンの損失が発生します。

元のハッシュ コンテンツには署名しないでください。

3. 転送アドレス ポイズニング

転送アドレス ポイズニングは、最近では比較的新しい攻撃手法であり、ユーザーが転送を開始する際に使用される攻撃手法です (ERC20、ネイティブ トークンなど)。トランザクションの受信アドレスに類似したアドレスが、同じ金額のトランザクション、または同じ金額のトランザクションを送信しますが、対応するトークンは偽のトークンです。

例:

アリスは毎月 1 ETH を給与としてボブに送金します。チャーリーはこのトランザクションを監視し、ボブと同様のアドレス (アドレスの最初の 8 桁と最後の 8 桁が同じ) を使用してアリスに 0.001 ETH を送金しました。この操作の後、次回アリスがボブに送金するときに、チャーリーのアドレスをトランザクションの受信アドレスとして使用することができます。このようなことが起こる理由は、ブロックチェーンのアドレスが長くて不規則であるため、ユーザーが覚えにくいため、多くの場合、ユーザーは利便性のために最後のトランザクション記録からアドレスを直接コピーすることになります。チャーリーとボブの住所は非常に似ているため、アリスがそれらを区別するのは困難であり、最終的には資産の損失につながります。

転送アドレスの汚染を防ぐために、ユーザーは次のような対策を講じることができます。

トランザクションごとに転送アドレスを確認し、単なる比較ではなく完全な内容を確認します。前後のバイト。

頻繁に使用するアドレスをアドレスホワイトリスト(アドレス帳)に登録し、エイリアスを設定し、転送にはアドレス帳のアドレスのみを使用するようにしてください。

オンチェーン チャネル (ブロックチェーン ブラウザ、ウォレットの取引記録など) からアドレスを転送ターゲットとしてコピーすることは避けてください。

4. トークンのオーバー認証

トークンの認証は、DeFi インタラクションのほぼ最初のステップです。 DeFi操作を実行する場合、トランザクションデータはユーザーの構造ではなくプロジェクトのWebページを通じて構築されるため、通常の状況では、認可を繰り返すことなくユーザーの複数のインタラクションを容易にするために、プロジェクトのWebページは通常、ユーザーに対して無制限の認可トランザクションを構築します。サイン。出発点はユーザーのガソリンを節約することですが、これはその後の資金の安全性にとって隠れた危険も生み出します。後続のプロジェクト コードで不正なインターフェイスや任意呼び出しの脆弱性などの問題が発生した場合、契約に対するユーザーの無制限の権限が攻撃者によって悪用され、ユーザー資産が譲渡されることになります。この攻撃シナリオは、クロスチェーン ブリッジや DEX プロトコルでより一般的です。

後続のプロジェクトでアップグレード中に危険なコードが導入されたり、プロジェクト コード自体の未発見の脆弱性が導入されたりするのを防ぐために、ユーザーは最小限の承認の原則を採用し、リスクを防ぐためにこのトランザクションで使用される量のみを承認するように努める必要があります。後続のプロジェクトで自身の資産に損失を与えること。

5. 安全でない DeFi 運用

対話前の準備に加えて、対話プロセス中に無視されやすい多くのリスクもあります。これらのリスクは通常、ユーザーがプロジェクト自体を理解していないことから発生します。具体的な例は次のとおりです。

オンチェーン交換プロトコルを介してトークンを交換する場合、スリッページの設定が大きすぎるか、最小受信額を設定せずにスワップを実行するようにスクリプトが作成されています (記述の便宜上 0 に設定されています)。 MEV ロボットの「サンドイッチ」攻撃。

オンチェーン融資プロトコルを通じて融資業務を実施する際、ポジションの健全性がタイムリーに管理されず、その結果、市場の大きな変動時にポジションが強制決済されてしまいました。

一部のプロジェクトとやり取りする際、プロジェクト当事者の認証情報が適切に保管されていなかったため、たとえば、Uniswap V3 の NFT 認証情報が OpenSea で通常の NFT として販売されていました。

これらのリスクを防ぐために、ユーザーはプロジェクトに関わる際に対応するプロジェクト調査を実施し、プロジェクトのメカニズムと関連する特性を明確にし、資産の損失を防ぐ必要があります。

安全なトランザクションのための DeFi の新しいパラダイム -- Cobo Argus

上記では、ブロックチェーン上の DeFi アクティビティの一般的な相互作用リスクを紹介しています。ユーザーが誤ってこれらの罠に陥った場合、長年の努力が無駄になる可能性があり、ほんのわずかな不注意でも取り返しのつかない損害につながる可能性があります。では、安全で効果的で管理が簡単なリスク管理計画はあるのでしょうか?新しいオプションは Cobo Argus です。

Cobo Argus は、Cobo チームによって開発され、Gnosis Safe 上に構築されたオンチェーンのリスク管理製品です。主な機能は、さまざまな ACL 戦略を構築してユーザーのトランザクションを分析し、リスク管理ルールに従わないトランザクションを遮断して、ユーザーの資金の安全を確保することです。

Cobo Argus は DeFi 環境におけるセキュリティ リスクにどのように対処しますか?

1. 最下位レベルのマルチ署名ウォレット、上位レベルの単一署名認証: 秘密鍵漏洩の単一点リスクを回避し、フィッシングのリスクを軽減し、運用を保証します。効率

Cobo Argus は、Safe {Wallet} のマルチシグネチャ ウォレット上に構築された製品であり、その基礎とコアはマルチシグネチャ コントラクト ウォレットです。したがって、Cobo Argus は Safe {Wallet} マルチシグネチャ ウォレットのセキュリティを自然に継承します。

資金管理を単一の秘密鍵から複数の秘密鍵の共同管理に変更することで、単一の秘密鍵の漏洩による資産損失・ロックのリスクを排除できます。マルチシグネチャウォレット自体はトランザクションの実行をトリガーするために複数の署名を必要とし、単一アドレスの秘密キーが漏洩しても資金全体のセキュリティには影響しません。さらに、マルチシグネチャトランザクションを開始して、失われたまたは危険なシングルシグネチャアドレスを置き換えて、マルチシグネチャウォレットのセキュリティを確保することができます。

さらに、単一署名アドレスから複数署名アドレスへの切り替えでは、各ユーザーがトランザクションに署名するときにトランザクションに署名する必要があるため、トランザクション内容の相互監査に役立ち、その結果、トランザクションの内容が大幅に削減されます。フィッシングの可能性。

複数の署名では複数の人がレビューする必要があり、業務効率に一定の影響を与えます。 Cobo Argus を使用すると、ユーザーは柔軟な承認ルールを構成でき、特定の低リスクで高頻度の操作 (農業中の定期的な収入請求など) を特定の EOA アドレスに承認できるようになります。このアドレスは、マルチシグネチャウォレットの代わりに操作を開始して、作業効率を向上させることができます。同時に、アドレスの許可は厳しく制限されているため、ウォレット全体のセキュリティは大きな影響を受けません。

2. カスタマイズされたロボット: 7*24 時間の自動リスク監視と対応

Cobo Argus 監視ロボットを構成することで、必要な条件とトリガー条件をカスタマイズできます。監視対象 アクションが必要です。

融資プロジェクトのレバレッジ管理を例に挙げます。ユーザーは、健康要因を監視するように Argus ロボットを設定できます。ポジションが清算に近づくと、ロボットは担保の補充、返済などの操作を実行できます。 . レバレッジを下げるため。

3. カスタマイズされた ACL ポリシー

監視ロボットのカスタマイズに加えて、特定の開発能力を持つユーザーは、より柔軟な実装を実現するためにカスタム ACL (アクセス コントロール リスト) コントラクトを開発することもできます。権限管理。これは Cobo Argus の中心的な機能の 1 つです。いくつかの例を通してこの機能の魅力を体験してみましょう:

アドレス ポイズニング攻撃をターゲットにするには、ACL コントラクトを作成できます。ユーザーはよく使用されるアドレスを ACL コントラクトのホワイトリストとして指定できます。トランザクション プロセス中に、ACL はコントラクトは、トランザクション内の受信アドレス (ERC20/ネイティブ トークン) を解析し、ユーザーが設定したホワイトリストのアドレスと比較します。受信アドレスが対応するアドレス内にない場合、トランザクションは正常に完了できません。

過剰承認の問題に対処するために、ユーザーは ACL ポリシー コントラクトを作成することで承認トランザクションの承認量を解析し、トークンの承認量がユーザーの事前設定値を超えないように制限できます。または 1、関連するトークンの承認を定期的にクリアするようにカスタム ロボットを構成できます。

スリッページ チェックのないスワップ トランザクションなど、安全でない DeFi 操作の場合、Argus ACL 戦略コントラクトを作成して、取引所トランザクションの最小許容スリッページを設定できます。設定が完了すると、ACL 戦略コントラクトは異なるスワップを実行します。設定されたスリッページに基づいて取引を分析することができ、為替スリッページを満たさない場合には、トランザクションを遮断することができます。

概要

DeFi インタラクションには防ぐのが難しいリスクが数多くあり、記事で言及されている内容には多くの一般的なシナリオが含まれていますが、すべてのリスク ポイントを完全にカバーすることはできません。ユーザーはすべてのトランザクションを慎重に処理する必要があります。

Cobo Argus は、一般的なセキュリティ リスクを防ぐための信頼性が高く、設定が簡単な手段をユーザーに提供します。 ACLにより柔軟かつ安全な認可管理を実現し、セキュリティを確保しながら業務効率を向上させ、カスタムロボットにより手作業を削減し、リアルタイム監視機能により7時間365日ユーザー資金の安全性を確保します。

DeFi は確かにユーザーに多大なメリットをもたらしますが、資金の安全性は資産の着実な成長の中核です。 Cobo Argus は、すべての DeFi ファーマーを保護し、誰もが強気市場でより多くの価値を生み出すのを支援します。

以上がCobo セキュリティ チーム: 強気の DeFi インタラクティブ ガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事はchaincatcher.comで複製されています。侵害がある場合は、admin@php.cn までご連絡ください。