執筆:SlowMistセキュリティチーム
概要
2024年11月、Web3セキュリティ事件の総損失は約8,624万ドルです。その中で、SlowMistブロックチェーン被害アーカイブ(https://hacked.slowmist.io)の統計によると、21件のハッキング事件が発生し、約7,686万ドルの損失があり、2,550万ドルが返還されました。事件の原因には契約の脆弱性、アカウントのハッキング、価格操作が含まれます。さらに、Web3詐欺防止プラットフォームScam Snifferの統計によれば、今月は9,208名のフィッシング事件の被害者がいて、損失規模は938万ドルに達しています。
(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)
セキュリティ大事件
MetaWin
2024年11月4日、チェーン上探偵のZachXBTが監視したところ、暗号賭博プラットフォームMetaWinが攻撃された疑いがあり、EthereumとSolanaチェーン上で400万ドル以上が盗まれました。MetaWinのCEO Skelによれば、攻撃者はプラットフォームのフリクションレス出金システムを通じてMetaWinのホットウォレットに侵入したとのことです。
DeltaPrime
2024年11月11日、DeFiプロトコルDeltaPrimeがAvalancheとArbitrumで攻撃され、DeltaPrimeは初歩的に475万ドルの損失を見込んでいます。今回の攻撃の根本的な原因は、報酬受け取り機能に入力検証が欠如していたことです。
(https://x.com/DeltaPrimeDefi/status/1855899502944903195)
Thala
2024年11月15日、Aptos基盤のDeFiプロジェクトThalaが攻撃され、2,550万ドルが盗まれました。攻撃者はそのスマートコントラクトの脆弱性を利用しました。プロジェクト側は関連するスマートコントラクトを停止し、一部のトークンを凍結しました。最終的には約1,150万ドルの資産が凍結されました。法執行機関や複数のブロックチェーンセキュリティチームと協力した結果、プロジェクト側は資産を回収することに成功し、攻撃者には30万ドルを報酬として保持することを許可しました。
(https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg)
DEXX
2024年11月16日、チェーン上取引端末DEXXの多くのユーザーの資金が盗まれました。SlowMistセキュリティチームの統計によると、今回の事件の損失規模は2,100万ドルに達しています。現在、SlowMistセキュリティチームはDEXXの公式およびパートナーと協力し、分析を継続しています。11月28日、SlowMistセキュリティチームは収集したSolanaチェーン上の8,612のDEXX攻撃者アドレスを公開し、EVMチェーン上の攻撃者アドレスも洗浄統計が完了後に公開される予定です。
(https://x.com/MistTrack_io/status/1862134946090881368)
Polter Finance
2024年11月17日、Fantom基盤のDeFiプロジェクトPolter Financeが攻撃され、約1,200万ドルの損失を被りました。攻撃者はフラッシュローンを通じてBOOのトークン準備を枯渇させ、BOOの計算価格を人為的に引き上げました。これにより、実際の担保価値を超えるトークンを貸し出すことができ、巨額の利益を得ました。このプラットフォームの創設者は、シンガポール当局に報告を提出し、攻撃者と連絡を取って資金の返還を交渉しようとしましたが、まだ返答は得られていません。
(https://x.com/polterfinance/status/1857971122043551898)
特徴分析およびセキュリティ提言
今月のセキュリティ事件数と損失規模は前月に比べて明らかに減少しており、この変化は業界がセキュリティ対策の継続的改善を反映しています。注目すべきは、攻撃理由の分布やそれによる損失規模において、契約の脆弱性が最も高い割合を占めていることです。今月発生した7件の契約脆弱性利用事件は約3,000万ドルの損失を引き起こし、総損失の39%を占めています。SlowMistセキュリティチームは、プロジェクト側に常に警戒を怠らず、定期的に包括的なセキュリティ監査を行い、新たなセキュリティ脅威と脆弱性を追跡・解決し、プロジェクトと資産の安全を守るよう提言します。
また、SlowMistセキュリティチームは、今月、Crypto業界に対するAIポイズニングの実際の攻撃事例が発生したことに気づきました。この現象は、サプライチェーン攻撃のターゲット範囲がさらに拡大していることを示しています。一部の開発者は効率を追求するあまり、AI生成のコードに過度に依存し、コードの安全性の確認を怠っている可能性があります。したがって、SlowMistセキュリティチームは、開発者やプロジェクト関係者に対し、AI生成のコードを使用する際は、出力結果を盲目的に信頼しないよう警告しています。すべてのコードは実際の使用に入る前に、厳格なセキュリティ監査とテストを経るべきであり、安全上のリスクを防ぎ、プロジェクトおよびユーザーの資産の安全を守る必要があります。同時に、プロジェクト側はサプライチェーン全体のセキュリティ管理を強化し、第三者ツールやサービスを包括的に評価し、関連分野のセキュリティ動向を継続的に監視して、新たな脅威に迅速に対応する必要があります。
最後に、本文に収録された事件は今月の主要なセキュリティ事件であり、他のブロックチェーンセキュリティ事件はSlowMistブロックチェーン被害アーカイブ(https://hacked.slowmist.io/)で確認できます。原文を読むには、直接リンクをクリックしてください。