2023/05/17

Hack3d -2022年Web3セキュリティーレポート

■　要点
・2022年、脅威アクター¹による被害は年内で3,766,421,050ドルに及んだ。
・2022年の被害総額は、昨年の13億ドルと比較すると189%も飛躍していることがわかる。
・出口詐欺²は316件にものぼり、投資家らから奪われた資金は総額207,219,223ドルだ。その一方でブラックハットハッカー³によるフラッシュローン⁴やオラクル⁵を用いた価格操縦の悪用は102件確認され、総額355,141,186ドルの被害が出た。
・たった9件のクロスチェーンブリッジにおける資金流出から出た被害額は1,354,740,248ドルで、年内に報告された被害総額の3分の1を占めた。
・一年を通してベアマーケットが続いたのにもかかわらず、CertiKによって監査が行われたプロジェクトの数は増加の一途をたどった。最終的にCertiKによる監査を受けたWeb3プロジェクトは5046件にのぼり、昨年から73%増加する結果となった。
・本レポートでは、2022年に起きた重要なセキュリティ事例にはじまり、年内のWeb3の方向性を決定づけたニュースやトレンド、そして波乱万丈の一年を終えた現在のWeb3業界の状態について報告していく。
　
　
¹ ネットワークやシステムのセキュリティやデータを危険に晒すことを目的とする悪意を持った個人・団体のこと。
² 投資家や顧客から資金を集めたのちに持ち逃げする詐欺のこと。
³ コンピューターやネットワークシステムに不正にアクセスするなどして、標的に対して悪意のある攻撃を行うハッカーのこと。
⁴ フラッシュローンとは、即時返済を条件に暗号資産を無担保で借り入れられる仕組みである。フラッシュローン攻撃では、悪意のある者がフラッシュローンを通じて多額の借入を行い、トークン市場価格の操作などを達成する攻撃を指す。
⁵ オラクルスマートコントラクトを不正に操作することで、そのスマートコントラクを基盤とするシステムの崩壊や資産への損害などを引き起こす攻撃手法がある。
　
　

※2022年Web3セキュリティーレポートPDF版ご希望の方はお問い合わせよりご連絡ください。

　
■　内容
・緖言
・中央集権型の暗号資産関連企業ー解決不能の矛盾か
・Terraの崩壊
・伝播する損失
・Web3ソリューション
・クロスチェーンブリッジへの攻撃
　　Ronin（6億2,500万ドル）
　　Wormhole（3億2,600万ドル）
　　Nomad（1億9,000万ドル）
・Profanityの脆弱性と秘密鍵の流出
　　Profanity
・脅威アクター
　　Lazarus Group
　　KYCアクター業界を紐解く
　　フィッシング
・各国の規制：総まとめ
　　オーストラリア
　　カナダ
　　中国
　　欧州連合（EU）
　　香港特別自治区
　　イタリア
　　日本
　　カザフスタン
　　ポルトガル
　　ロシア
　　シンガポール
　　イギリス
　　アメリカ合衆国
・2022年：総括
・CertiKのSecurity Suite
　

　
■　緖言
昨年は、暗号資産に携わる者にとっては苦痛を伴う一年だった。2022年は、暗号資産の時価総額が65%減少し広範囲に及んで市場が低迷する中、それと同時にハッキングや詐欺、システムの崩壊の数が過去最多を記録した。その結果、ただでさえ市場の低迷から損失を受けていた投資者は、さらに深手を負うこととなる。

2022年3月はローニンブリッジ（Ronin Bridge）から6億2,500ドルが強奪される事件が発生し、そして11月には当時業界で2番目の規模を誇っていた中央集権型の暗号資産取引所FTXが一夜にして崩壊するなど、同年の損失額は前例を見ないものと言えるだろう。

年内に起きた被害の総額は37億ドルで、2021年の13億ドルを遥かに凌駕し過去最悪の記録を打ち出した。

Celsius、BlockFiやFTXなどといった中央集権的組織の破綻を引き起こした原因や条件は考察に値するため、本レポートで精査する。これらの中央集権型の組織は、あまりにも速いペースで過ちを繰り返しており、Web3やオープンソースのブロックチェーン上に構築されたdAppsは、中央集権型の組織の代替案としての重要な立ち位置を担う。

しかし、Web3がその全盛期を迎える準備ができていると考えるのは、ナイーブだと言えるだろう。

分散型の世界で生じた損失額は中央集権的組織における損失と比べるといとも小さく見えてしまうが、数十億ドル単位であることは忘れてはいけない。

Web3業界は厳しい教訓を受け入れる必要がある。もっとも、その教訓こそが2022年という苦しい1年から得られる唯一の希望の光になりうるのだ。

不十分なセキュリティを構えていたプロトコルのために損失が相次いだとはいえ、Web3自体に価値があるのは紛いもない事実だ。流行による熱が落ち着きはじめ、暗号資産業界を含む市場全体での資産評価の下落が続く現在、我々は一度足を止めて、現状の評価を行った上、真に安全な土台の上で業界を（再）構築するべきだ。

本レポートでは2022年に発生した大規模なハッキング事件や攻撃を振り返るとともに、CertiKがWeb3のセキュリティを強化するミッションの一環として提供しているセキュリティ調査の一部も併せて紹介する。

それでは、一息ついて飲み物でも用意されたい。お手元のデバイスで開いているTwitterやTradingViewのタブを閉じ、本レポート「CertiKによるセキュリティの現状レポート：2022年ベアマーケット版」をじっくり読む準備はできただろうか。