概要
Slowmist Blockchain Hacked Archive (https://hacked.slowmist.io) の統計によると、2023 年 8 月 14 日から 8 月 20 日までに合計 10 件のセキュリティ インシデントが発生し、総額約 1,996 万 3,000 米ドルが損失されました。
具体事件
MEVボット
2023 年 8 月 14 日、Hexagate は、BNBChain、Ethereum、Polygon、Arbitrum を含む単一の MEV ボットが過去数日間で約 20 万ドルで悪用されたとツイートしました。
ズナミプロトコル
2023年8月14日、イーサリアムのZunamiプロトコルが価格操作攻撃を受け、1,179ETH(約220万ドル)の損失が発生しました。このインシデントの理由は、脆弱な契約における LP 価格の計算が、契約自体の CRV 残高と、ETH/CRV プール内の CRV の交換比率に依存しているためです。攻撃者は、CRV を契約に移し、wETH/CRV プールの交換比率を操作することで、LP 価格を操作しました。 MistTrack の分析によると、すべての ETH は Tornado Cash に転送されました。
言及する価値があるのは、私たちのシステムは以前にこの脆弱性を検出しており、私たちもその脆弱性について親切に注意を促しましたが、インシデントが発生したときにはすでに手遅れでした。
置く
2023年8月15日、イーサリアム拡張ソリューションMetisの公式Twitterアカウントが盗難されました。関係者によると、チームメンバーが SIM スワップ攻撃の被害に遭い、悪意のある攻撃者は約 30 時間にわたってアカウントを乗っ取ることができました。
SIM スワッピング攻撃の目的は個人情報の盗難であり、攻撃者は被害者の電話番号を乗っ取り、銀行、クレジット カード、または暗号口座へのアクセスを与えます。コインテレグラフとのインタビューで、SlowMist CISO は次のように述べています。「Web3 の人気により、技術要件が比較的低いため、より多くの人々が業界に参入するようになり、このような SIM スワップ攻撃の可能性も高まっています。」これは業界ではさらに一般的であり、Web2 の世界でも非常に一般的であるため、Web3 環境でもそれが出現するのは驚くべきことではありません。」
(https://cointelegraph.com/news/crypto-sim-swap-how-easy-is-sim-swap-crypto-hack)
SIM スワッピング攻撃にはハッカーによる高度な技術スキルは必要ないため、ユーザーはそのようなハッキング攻撃を防ぐために ID セキュリティに注意を払う必要があります。 SIM スワップ ハッキングの場合は、多要素認証、強化されたアカウント検証 (追加のパスワードなど) を使用するか、SIM カードまたはモバイル アカウントに安全な PIN またはパスワードを確立することをお勧めします。
6つのネットワーク
2023 年 8 月 15 日、sei Network の公式 Discord サーバーが侵害されました。
ロケットスワップ
2023 年 8 月 15 日、Base のエコロジカル プロジェクト RocketSwap が攻撃を受け、攻撃者は RCKT トークンを盗み、それを約 868,000 米ドル相当の ETH に変換し、イーサリアムにクロスチェーンしました。その後、ハッカーは LoveRCKT という名前のミームコインを作成しました。盗まれた資産を利用して、個人的な利益のために市場心理を操作することです。
この事件は、RocketSwap、特にその導入プロセスと秘密鍵の保管に関する疑問も引き起こしました。しかしチームは内部の関与を否定し、この作戦はサードパーティのハッカーによるものだと主張した。 RocketSwap は次のように述べています。「チームは、Launchpad を展開するときに、オフライン署名を使用し、サーバーに秘密鍵を置く必要があります。現在、サーバーがブルート フォース クラックされたことが検出されており、ファーム契約ではプロキシ契約が使用されているため、複数の高セキュリティーが発生しています」 - 農場資産の移転につながる危険な許可。」
スワールレンド
2023 年 8 月 16 日、融資プロトコル SwirlLend チームは、Base から約 290 万ドル相当の暗号通貨を、Linea から 170 万ドル相当の暗号通貨を盗み、盗まれた資金はすべてイーサリアムにクロスチェーンされました。これまでのところ、展開者は254.2 ETHをTornado Cashに送金しました。 SwirlLend の公式 Twitter および Telegram アカウントは無効化されており、公式 Web サイトにはアクセスできません。 MistTrack の分析によると、デプロイヤーは SwftSwap、XY Finance、Orbiter Finance などを使用し、次の IP が検出されました: 50.*.*.106、50.*.*.58、50.*.*.42。
猿が作った
2023年8月16日、オンチェーンアナリストのZachXBT氏は、BAYCが立ち上げたオンチェーンライセンスアプリケーションプラットフォームであるMade by ApesのSaaSy Labs APlにMBA申請の個人情報へのアクセスを許可する問題があったとツイートした。この問題は公開前に Yuga Labs に報告されており、現在は修正されています。 Yuga Labsは、データの悪用があったかどうかは現時点では不明で、情報が流出した可能性のある人物に連絡しており、必要なユーザーには詐欺や個人情報の保護を提供すると回答した。
(https://twitter.com/zachxbt/status/1691514780119343104)
まさにプロトコル
2023年8月18日、DeFi融資プロトコルExactly Protocolが攻撃され、7,160ETH(約1,204万ドル)以上の損失が発生しました。 2人の契約攻撃者は関数kick()を複数回呼び出すことで攻撃を実行し、イーサリアム上の開発者契約を利用してオプティミズムにデポジットを送金し、最終的に盗まれた資金をイーサリアムに送金しました。 Exactly Protocol 攻撃の根本原因は、不十分なチェックであったことがわかります。攻撃者は、未検証の偽のマーケット アドレスを直接渡し、_msgSender を被害者のアドレスに変更することで、DebtManager コントラクト レバレッジ機能の権限チェックをバイパスしました。次に、信頼できない外部呼び出しで、攻撃者は DebtManager コントラクトの CrossDeleverage 関数に再度入り、_msgSender タイプから担保を盗みます。まさにプロトコルは、プロトコルの停止が解除され、ユーザーは清算することなくすべての操作を実行できるとツイートしました。ハッキング攻撃は、ペリフェラル コントラクト (DebtManager) を使用するユーザーにのみ影響し、プロトコルはまだ正常に実行されています。
ハーバープロトコル
2023年8月19日、コスモスのエコロジークロスチェーンステーブルコインプロトコルであるハーバープロトコルが悪用され、安定造幣局、stOSMO、LUNA、WMATIC財務省の一部の資金が枯渇したとツイートした。これまでに収集した情報によると、攻撃者はすべての操作を実行するために次のアドレスを使用しました: comdex1sma0ntw7fq3fpux8suxkm9h8y642fuqt0ujwt5。この攻撃により、Harbor Protocol は 42,261 LUNA、1,533 CMDX、1,571 stOSMO、および 18,600 兆 WMATIC を失ったと報告されています。
タレス
2023年8月20日、デリバティブ市場のタレスは、コアコントリビューターのパソコン/メタマスクがハッキングされ、一時的なデプロイヤー(25,000米ドル)または管理ロボット(10,000米ドル)として機能した一部のホットウォレットが侵害されたと発表しました。 BNBチェーン上でタレスマーケットの契約を操作しないでください。また、保留中の契約をキャンセルしてください。 Optimism、Arbitrum、Polygon、Base ではすべての資金が安全です。タレス氏は、今回の攻撃を受けてBSCへの支持が正式に打ち切られると述べた。
要約する
今週、秘密鍵の漏洩によって損失が発生した事件が 2 件ありました。過去には、6億1,000万ドルを超える損失をもたらしたRonin Network事件や、1億6,000万ドルを超える損失をもたらしたHarmony事件、 1 億 6,000 万米ドルを超える損失をもたらしたウィンターミュート事件。秘密キーが盗まれる理由は数多くあります。プロジェクト関係者にとって秘密キーのセキュリティには、秘密キーのクラッキング、ソーシャル エンジニアリング攻撃、および環境セキュリティの 3 つの主な側面があります。秘密キーの重要性により、セキュリティ ストレージ レベル (ハードウェア暗号化チップ保護など) を向上させ、単一リスク ポイントを除去することが攻撃を防ぐ重要な手段となります。秘密キー/ニーモニック ワードをバックアップする場合は、単一点リスクの軽減を検討し、安全なバックアップ方法、メディア、またはプロセスを使用することもできます。詳細については、Slow Mist が作成した暗号化資産セキュリティ ソリューションを参照してください: https://github .com /slowmist/cryptocurrency-security。