著者:慢霧セキュリティチーム

概要

2024年11月、Web3セキュリティ事件の総損失は約8,624万ドルでした。そのうち、慢霧ブロックチェーンハッキングアーカイブ(https://hacked.slowmist.io)の統計によると、合計21件のハッキング事件が発生し、約7,686万ドルの損失があり、2,550万ドルが返還されました。事件の原因には契約の脆弱性、アカウントのハッキング、価格操作などが含まれています。また、Web3詐欺防止プラットフォームScam Snifferによると、今月は9,208人のフィッシング事件の被害者がいて、損失規模は938万ドルに達しています。

(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)

セキュリティ大事件

メタウィン

2024年11月4日、オンチェーン探偵ZachXBTの監視によると、暗号賭博プラットフォームメタウィンが攻撃された疑いがあり、EthereumとSolanaチェーンで400万ドル以上が盗まれました。メタウィンのCEO Skelによると、攻撃者はプラットフォームのフリクションレス引き出しシステムを通じてメタウィンのホットウォレットに侵入しました。

デルタプライム

2024年11月11日、DeFiプロトコルデルタプライムがAvalancheとArbitrumで攻撃され、デルタプライムは初期的に475万ドルの損失を見積もっています。今回の攻撃の根本原因は、報酬受け取り機能に入力検証が欠如していることです。

(https://x.com/DeltaPrimeDefi/status/1855899502944903195)

タラ

2024年11月15日、AptosベースのDeFiプロジェクトThalaが攻撃され、2,550万ドルが盗まれました。攻撃者はそのスマートコントラクトの脆弱性を利用しました。プロジェクト側は関連するスマートコントラクトを一時停止し、一部のトークンを凍結し、最終的に約1,150万ドルの資産を凍結することに成功しました。法執行機関や複数のブロックチェーンセキュリティチームと協力した結果、プロジェクト側は資産を回収することに成功し、攻撃者には30万ドルを報酬として保持することを許可しました。

(https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg)

DEXX

2024年11月16日、オンチェーントランザクション端末DEXXの複数のユーザーの資金が盗まれました。慢霧セキュリティチームの統計によると、今回の事件の損失は2,100万ドルに達しています。現在、慢霧セキュリティチームはDEXXの公式およびパートナーと協力して分析を継続しています。11月28日、慢霧セキュリティチームは収集したSolanaチェーン上の8,612件のDEXX攻撃者のアドレスを公開し、EVMチェーン上の攻撃者のアドレスもクリーンアップ統計が完了次第公開される予定です。

(https://x.com/MistTrack_io/status/1862134946090881368)

ポルターファイナンス

2024年11月17日、FantomベースのDeFiプロジェクトポルターファイナンスが攻撃され、約1,200万ドルの損失がありました。攻撃者はフラッシュローンを使用してBOOのトークン備蓄を枯渇させ、BOOの計算価格を人為的に引き上げました。これにより、担保の実際の価値を超えるトークンを借りることができ、大きな利益を得ました。このプラットフォームの創設者は、シンガポール当局に報告を提出し、オンチェーンメッセージを通じて攻撃者と連絡を取って資金の返還を交渉しようとしましたが、まだ応答はありません。

(https://x.com/polterfinance/status/1857971122043551898)

特徴分析と安全提案

今月のセキュリティ事件数と損失規模は前月と比較して明らかに減少しており、この変化は業界のセキュリティ対策の継続的な改善を反映しています。注意すべきは、攻撃原因の分布や損失規模において、契約の脆弱性が最も高い割合を占めていることです。今月発生した7件の契約脆弱性利用事件は約3,000万ドルの損失を引き起こし、総損失の39%を占めています。慢霧セキュリティチームは、プロジェクト関係者に常に警戒を怠らず、定期的に包括的なセキュリティ監査を実施し、新しいセキュリティの脅威や脆弱性を追跡し解決し、プロジェクトと資産の安全を守るように提案しています。

さらに、慢霧セキュリティチームは今月、Crypto業界に対するAIによる毒殺の実際の攻撃事例が発生したことに注意を払っています。この現象は、サプライチェーン攻撃の標的範囲がさらに拡大していることを示しています。一部の開発者は効率を追求するあまり、AI生成のコードに過度に依存し、コードの安全性の審査を怠る可能性があります。したがって、慢霧セキュリティチームは、開発者やプロジェクト側に、AI生成コードを使用する際には、出力結果を盲目的に信頼しないよう警告しています。すべてのコードは実際に使用する前に厳格なセキュリティ監査とテストを受け、安全上の懸念を防ぎ、プロジェクトおよびユーザーの資産の安全を守る必要があります。同時に、プロジェクト側はサプライチェーン全体のセキュリティ管理を強化し、第三者ツールやサービスの全面的な評価を行い、関連分野のセキュリティ動向を継続的に監視し、新しい脅威に迅速に対応する必要があります。