
慢雾:人気DeFiプロジェクトの基本的なセキュリティリスク分析
TechFlow厳選深潮セレクト

慢雾:人気DeFiプロジェクトの基本的なセキュリティリスク分析
本稿は、DefiLlamaランキング上のDeFiプロジェクトにおける基盤的なセキュリティリスクを評価・分析することを目的としている。
執筆:山哥、Mr.A、スローミストセキュリティチーム
背景
近年、DeFiプロジェクトは急速に増加しており、金融イノベーションの革命を牽引しています。DeFiプロジェクトはブロックチェーン技術を活用して、貸し借りや取引、資産管理など、従来の中間機関を必要とせずにユーザーが直接やり取りできる分散型金融サービスを提供しています。
しかし、一定規模の資金とユーザーベースを持つようになったことから、DeFiプロジェクトはハッカーにとっても攻撃対象となりやすくなっています。多くのプロジェクト関係者は「DeFiのセキュリティ=コントラクトのセキュリティ」と捉えていますが、これは誤った認識です。なぜなら、DeFiにはドメイン名やサーバーといった要素も含まれるからです。
こうした状況を受け、各種フィッシング詐欺グループが現れています。特に目立つのが、ソーシャルエンジニアリング攻撃を行うAngel Drainerです。今年に入り、このフィッシンググループはBalancer、Galxe、Frax Finance、VelodromeFi、Aerodrome.FinanceなどのDeFiプロジェクトに対して攻撃を仕掛けています。Angel DrainerはプロジェクトのDNSを乗っ取り、ドメインをハイジャックし、フロントエンドに悪意のあるJavaScriptコードを注入することで、ユーザーの署名情報を騙し取り、最終的に資産を盗み出しています。
このような背景のもと、本稿ではDefiLlamaランキング上位のDeFiプロジェクトにおける基礎的なセキュリティリスクを評価・分析することを目的としています。DefiLlamaはDeFiプロジェクトのデータとランキングを提供するプラットフォームであり、そのランキングに掲載されているプロジェクトは、市場で最も注目され、広く利用されているDeFiサービスを代表しています。
調査対象および方法
まず、DefiLlamaのランキングに基づき、上位50、上位100、上位200、上位500、上位3000のプロジェクトを範囲別に分類して統計を取りました。主に各プロジェクトのドメイン名に関連するDNSSEC情報、WHOIS情報、CDN情報、およびソースIPの露出状況を収集・分析しました。

DNSSECのセキュリティ問題
DNSSEC(Domain Name System Security Extensions)とは、ドメインネームシステム(DNS)のセキュリティを強化するための技術拡張であり、DNSクエリのデータ完全性、真正性、認証性を確保する仕組みを提供します。以下はDNSSECの主な役割です。
1. データの完全性:DNSSECはデジタル署名技術を用いてDNSデータに署名を行い、データ転送中に改ざんされていないことを保証します。これにより、悪意ある攻撃者がDNS応答を改ざんし、ユーザーを悪意のあるサイトへリダイレクトしたり、ネットワークトラフィックをハイジャックするのを防ぎます。
2. データの真正性と認証:DNSSECはDNS応答の真正性を検証でき、データが権威あるDNSサーバーから来たものであることを確認できます。これにより、攻撃者が偽のDNS応答を送信してユーザーを騙すDNS詐欺攻撃を防止できます。
3. キャッシュポイズニング攻撃への対策:DNSSECはキャッシュポイズニング攻撃を防ぐことができます。つまり、攻撃者がDNSキャッシュに偽のDNSレコードを挿入してユーザーを悪意のあるサイトへ誘導するのを防ぎます。デジタル署名による検証により、DNSSECは偽のDNSレコードを検出し拒否することができます。
4. DNSセキュリティの強化:DNSはインターネットの基盤インフラの一つであり、多くのネットワーク活動がDNSに依存しています。DNSSECの導入により、インターネット全体のセキュリティが向上し、悪意ある攻撃の成功率を下げることで、ユーザーおよび組織のネットワークセキュリティを強化できます。
要するに、DNSSECはデジタル署名と検証メカニズムを通じてDNSのセキュリティを強化し、DNSクエリのデータ完全性と真正性を確保します。特にDNSSECが有効化されると、ドメインの権威あるDNSサーバーが本物かどうかを検証可能になり、ドメインハイジャックやDNS詐欺のリスクを低減し、インターネット全体の安全性と信頼性を高めることができます。
本調査では、スクリプトおよびhttps://domsignal.com/などの第三者検出サイトを用いてDNSSECのセキュリティ分析を行い、対象ドメインのDNSKEYが正しく設定されているか、RRSIGが有効であるかなどを検出しました。例を以下に示します。

ドメイン登録事業者のセキュリティ問題
ドメイン登録事業者は、ドメインの登録と管理を行います。そのセキュリティ対策には、不正アクセスからのアカウント保護、ドメインの悪意ある移転や変更の防止、ドメイン登録データの保護などが含まれます。安全なドメイン登録事業者は通常、二段階認証(2FA)、定期的なセキュリティ監査、強固なプライバシー保護機能を提供しています。
安全でないドメイン登録事業者を利用すると、さまざまなDNSセキュリティ問題が生じる可能性があります。主なものには以下の通りです。
1. DNSハイジャック:安全でないドメイン登録事業者はDNSハイジャック攻撃を受けやすく、攻撃者がDNS応答を改ざんし、ユーザーを悪意のあるサイトへリダイレクトさせる可能性があります。これにより、ユーザーがフィッシングやマルウェア、その他の悪意ある活動に晒されるリスクが高まります。
2. DNSキャッシュポイズニング:攻撃者は安全でないドメイン登録事業者に偽のDNSレコードを送信することで、キャッシュポイズニング攻撃を行うことができます。これにより、安全でないDNSサーバーが偽情報をDNSキャッシュに保存し、多数のユーザーが悪意のあるサイトへ誘導される事態になります。
3. データ改ざん:安全でないドメイン登録事業者は中間者攻撃(MitM)を受けやすく、攻撃者がDNSクエリの通信中にデータを改ざんし、ユーザーに偽のDNS応答を送信する可能性があります。これにより、ユーザーが誤ったサーバーに接続したり、悪意のあるサイトに晒されるリスクが生じます。
4. サービス停止:安全でないドメイン登録事業者がDDoS攻撃やその他のネットワーク攻撃を受けると、DNSサーバーが利用不能になり、ウェブサイトやオンラインサービスにアクセスできなくなる可能性があります。
5. DNSSECサポートの欠如:安全でないドメイン登録事業者はDNSSECをサポートしていない場合があり、これによりDNSクエリの安全性が低下し、ユーザーがDNS詐欺などの攻撃を受けやすくなります。
以上のように、安全でないドメイン登録事業者を利用するとDNSセキュリティの問題が発生し、ユーザーおよび組織がさまざまなネット脅威に晒される可能性があります。そのため、信頼できる、強固なセキュリティ対策(例えばDNSSECのサポート)を提供するドメイン登録事業者を選ぶことが、ドメインおよびネットワークの保護において極めて重要です。DeFiプロジェクトは、自らのドメイン登録事業者を慎重に評価・選定し、提供されるサービスが安全かつ信頼できることを確認すべきです。
本調査では、https://www.godaddy.com/whois などのWHOISサービスを用いてドメイン情報を照会し、プロジェクトドメインのRegisterおよび現在のName Serverを収集しました。例を以下に示します。

CDNおよびトラフィック保護のセキュリティ問題
コンテンツ配信ネットワーク(CDN)は、複数のグローバルノードにウェブコンテンツを分散させることで、遅延を減少させ、アクセス速度を向上させる、ウェブサイトのパフォーマンスとセキュリティを最適化するサービスです。CDNのセキュリティ対策には、DDoS攻撃への対抗、Webアプリケーションファイアウォール(WAF)、HTTPSのサポートなどがあり、データ転送中の安全と暗号化を保障します。
安全でないCDNプロバイダーは、次のようなさまざまなセキュリティリスクを引き起こす可能性があります。
1. データ漏洩:安全でないCDNプロバイダーは、自身のサーバーにホストされたデータを十分に保護できない可能性があります。これにより、顧客データ、ログイン資格情報、機密文書などの機微情報が漏洩するリスクがあります。攻撃者はCDNの脆弱性を突いてこれらのデータを取得または窃取することが可能です。
2. 中間者攻撃:攻撃者はCDNとエンドユーザーの間に介入し、中間者攻撃(MitM)を試みる可能性があります。つまり、CDN経由で転送されるデータを改ざんまたは監視し、機密情報を盗んだり、悪意あるコンテンツを流布する可能性があります。
3. サービス停止:CDNプロバイダーがDDoS攻撃やその他のネットワーク攻撃を受けた場合、CDNサービスが中断し、ウェブサイトやアプリケーションにアクセスできなくなる可能性があります。これはビジネスの可用性とパフォーマンスに深刻な影響を及ぼします。
4. 悪意あるコンテンツの流布:CDNプロバイダーがホストするコンテンツの検証と審査に十分なセキュリティ対策を講じていない場合、悪意あるユーザーがCDNを悪用して、マルウェアや悪意あるスクリプト、その他の有害なコンテンツを広める可能性があります。
5. 暗号化サポートの不足:安全でないCDNプロバイダーは十分な暗号化サポートを提供せず、データ転送が盗聴されやすくなる可能性があります。これにより、データ漏洩やプライバシーの問題が生じます。
6. セキュリティ脆弱性の悪用:攻撃者は安全でないCDNに存在するセキュリティ脆弱性を悪用し、CDNネットワークに侵入して機密データにアクセスしたり、ネットワークリソースを制御する可能性があります。
7. 法的・コンプライアンス上の問題:一部のCDNプロバイダーは異なる国や司法管轄区域に所在しており、法的およびコンプライアンス上の問題を引き起こす可能性があります。これにより、データプライバシーやコンプライアンスに関する課題が生じる恐れがあります。
これらのリスクを低減するため、DeFiプロジェクトはCDNプロバイダーを選定する際、そのセキュリティ対策、プライバシーポリシー、コンプライアンス体制を慎重に評価すべきです。良好なセキュリティ実績を持ち、専門のセキュリティチームを備えた信頼できるCDNプロバイダーを選ぶことは、データとネットワークの安全を確保する上で極めて重要なステップです。
本調査では、プロジェクトドメインに対応するIPアドレスを取得し、Akamai、Azure CDN、Cloudflare、CloudFront、Fastly、Google Cloud CDN、MaxCDNなど、主要なCDNの使用状況を統計的に集計しました。例を以下に示します。

ソースIP露出のセキュリティ問題
ソースIP露出とは、攻撃者がウェブサイトのバックエンドサーバーの実際のIPアドレスを特定でき、CDNやその他のセキュリティ対策を迂回して直接サーバーを攻撃したり、ファイアウォールの制限ポリシーを回避できる状態を指します。また、WebサーバーのソースIPが露出していると、以下のようなセキュリティ問題が発生する可能性があります。
1. 直接攻撃:露出したIPアドレスはハッカーの直接攻撃対象となり、DDoS攻撃などが行われた場合、ウェブサイトが利用不能になる可能性があります。
2. セキュリティ脆弱性の悪用:サーバーソフトウェアに既知の脆弱性がある場合、ハッカーはそれを利用してサーバーに侵入する可能性があります。
3. データ漏洩リスク:ハッカーは露出したIPを通じて機密データにアクセスし、データ漏洩を引き起こす可能性があります。
4. フィッシングおよび詐欺:ハッカーはサーバーの身元を偽装し、フィッシングや詐欺行為を行う可能性があります。
したがって、WebサーバーのソースIPアドレスを保護することは、ネットワークセキュリティを維持する上で極めて重要です。ソースIPが露出しないよう、リバースプロキシサーバーの利用、安全なDNSレコードの設定、すべてのエントリポイントに適切なセキュリティ保護を施すなどの対策を講じることで、ソースサーバーに対する直接攻撃のリスクを低減できます。
本調査では、第三者サービスを用いてCDNを利用しているドメインの迂回を試み、プロジェクトドメインのソースIPが露出していないかを検出しました。例を以下に示します。

以上の調査結果をもとに、以下に統計分析を行います。
結果の統計
DNSSECのセキュリティ問題
一部の結果:

DNSSECの統計:

(数量分布)

(割合分布)

ドメイン登録事業者のセキュリティ問題
一部の結果:

ドメイン登録事業者統計:



CDNおよびトラフィック保護のセキュリティ問題
一部の結果:

CDN使用状況の統計:


ご覧の通り、世界トップクラスのセキュアCDNプロバイダーであるAkamaiのDeFi業界での利用率はほぼゼロです。DeFiの基礎セキュリティとセキュリティ意識の向上には、まだ長い道のりがあります。
ソースIP露出のセキュリティ問題
一部の結果:

露出状況の統計:



ソースIPの露出が引き起こすセキュリティ問題は決して無視できません。つい12月7日、有名なゲームプロジェクト@XAI_GAMESがDDoS攻撃を受け、公式サイトが利用不能になりました。同時に、攻撃者は同プロジェクトのDiscordコミュニティで偽の公式サイトを公開し、被害者をだましてフィッシングサイトにアクセスさせ、大量の被害者が出た結果、約400ETH以上の損失が発生しました。したがって、DeFiプロジェクトはWebサーバーのソースIPアドレス保護を重視し、ソースサーバーに対する直接攻撃リスクを低減すべきです。
まとめ
以上、各方面の統計情報を総合すると、現在のDeFiプロジェクトにおける基礎的なセキュリティリスクが非常に深刻であることが明確にわかります。多数のDeFiプロジェクトの構成は安全ではなく、攻撃を受けるリスクが存在しています。
本稿の分析により、DeFiのセキュリティは単なるコントラクトのセキュリティだけでなく、全体として考えるべきものであることがわかりました。スローミストセキュリティチームが公開している「Web3プロジェクトセキュリティ実践要件」(https://github.com/slowmist/Web3-Project-Security-Practice-Requirements)およびWeb3業界サプライチェーンセキュリティガイドラインは、Web3プロジェクト関係者に対して包括的なセキュリティ対策を講じるよう指導・注意喚起するものです。また、スローミストセキュリティチームが展開するMistEyeセキュリティ監視システムは、コントラクト監視、フロントエンド・バックエンド監視、脆弱性発見・警告など、多角的な情報を網羅し、DeFiプロジェクトの前後・進行中・発生後の全プロセスにおけるセキュリティを監視しています。プロジェクト関係者の皆様には、MistEyeセキュリティ監視システムをご活用いただき、リスクを把握し、プロジェクトの安全性を高めていただければ幸いです。
謝辞:@DefiLlama @censysio
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News









