執筆:Beosin

2024 年、ブロックチェーン業界は技術革新とエコシステム拡張を進める一方で、ますます厳しいセキュリティの課題に直面しています。セキュリティ監査会社 Beosin の Alert プラットフォームの監視によると、2024 年の Web3 分野では、ハッカー攻撃、フィッシング詐欺、プロジェクト側の Rug Pull による総損失が 24.91 億ドルに達しています。

これらの事件は、秘密鍵管理、スマートコントラクトの脆弱性などの技術的欠陥を暴露するだけでなく、ソーシャルエンジニアリングと内部管理の潜在的なリスクも浮き彫りにしました。本記事では、2024 年の最も影響力のある Web3 の十大セキュリティ事件を振り返り、業界がそこから教訓を学び、未来のセキュリティの脅威により良く対応できるよう支援します。

No.1 DMM Bitcoin

損失金額:3.04 億ドル

攻撃方法:秘密鍵の漏洩

2024 年 5 月 31 日、日本の老舗暗号通貨取引所 DMM Bitcoin が歴史的な攻撃に遭いました。攻撃者は漏洩した秘密鍵を利用して、3 億ドルを超えるビットコインを直接移転し、迅速に盗まれた資金を 10 を超える異なるアドレスに分散しました。この攻撃は、DMM Bitcoin の秘密鍵管理と多層的なセキュリティ防護の深刻な不足を暴露しました。取引所は、チェーン上の監視と資金の凍結を通じてハッカーを追跡しようとしましたが、盗まれたビットコインは分散移転され、ミキシングツールを利用して洗浄され、追跡作業に大きな挑戦をもたらしました。

12 月 24 日、日本警察は DMM Bitcoin の盗難事件が北朝鮮のハッカー組織 Lazarus Group によるものであると認定しました。Lazarus Group の過去の攻撃と資金洗浄の詳細な分析については、(史上最大胆の暗号通貨盗難団体、ハッカー組織 Lazarus Group の洗浄分析)をお読みください。

No.2 PlayDapp

損失金額:2.90 億ドル

攻撃方法:秘密鍵の漏洩

2024 年 2 月 9 日、PlayDapp が大打撃を受け、ハッカーが秘密鍵を盗むことで 20 億枚の PLA トークンを鋳造し、初期価値は 3650 万ドルでした。プロジェクト側とハッカーの交渉が不調に終わり、ハッカーは短期間でさらに 159 億枚の PLA トークンを鋳造し、価値は 2.539 億ドルに達しました。これらのトークンは一部 Gate 取引所に流入し、PlayDapp は PLA コントラクトを一時停止し、PDA トークンコントラクトに移行せざるを得なくなりました。この事件は、ブロックチェーンプロジェクトにおける秘密鍵保護と事件対応の欠陥を浮き彫りにしました。

No.3 WazirX

損失金額:2.35 億ドル

攻撃方法:ネットワーク攻撃とフィッシング

2024 年 7 月 18 日、インド最大の暗号通貨取引所 WazirX の Safe Wallet マルチシグウォレットがハッカーに正確に攻撃されました。攻撃者はソーシャルエンジニアリングを通じてマルチシグ署名者を誘導し、契約のアップグレード取引に署名させ、その後アップグレードされた契約権限を利用してウォレット内の資産をすべて移転しました。この事件は、マルチシグウォレットの管理権限の設定と操作の透明性に関する潜在的なリスクを浮き彫りにし、業界内でのプロジェクト内部のリスク管理とセキュリティメカニズムについての深い反省を引き起こしました。

この事件に関する詳細な分析と資金追跡については、(Beosin | インド取引所 WazirX が盗まれた 2.35 億ドル事件分析)をお読みください。

No.4 Gala Games

損失金額:2.16 億ドル

攻撃方法:アクセス制御の脆弱性

2024 年 5 月 20 日、Gala Games の特権アドレスがハッカーに攻撃され、攻撃者はトークン契約の mint 関数を呼び出すことで、一度に 50 億枚の GALA トークンを鋳造しました。その後、ハッカーは増発されたトークンを分割して ETH に交換し、直接的に 2.16 億ドルの損失を引き起こしました。Gala Games チームは事件発生後、緊急にブラックリスト機能を起動し、一部のハッカーアカウントを封鎖し、司法手段を通じて損失を回収しました。

No.5 Chris Larsen (Ripple の共同創設者)

損失金額:1.12 億ドル

攻撃方法:秘密鍵の漏洩

2024 年 1 月 31 日、Ripple の共同創設者 Chris Larsen の 4 つの個人ウォレットがハッカーに攻撃され、1.12 億ドルの XRP が盗まれました。これらのウォレットは、ハードウェアデバイスの二重保護が不足していたため、攻撃の対象となったと考えられています。事件発生後、Binance は 420 万ドル相当の XRP を凍結し、Larsen が盗まれた資産を追跡するのを支援しましたが、ほとんどの資金はすでに分散型取引所とミキシングサービスを通じて洗浄されていました。

No.6 Munchables

損失金額:6250 万ドル

攻撃方法:ソーシャルエンジニアリング攻撃

2024 年 3 月 26 日、Blast を基にした Web3 ゲームプラットフォーム Munchables が稀な内部浸透攻撃に遭いました。攻撃者はブロックチェーン開発者のふりをした北朝鮮のハッカーで、長期間潜伏してコアコードと敏感な鍵を取得しました。攻撃により巨額の損失が発生しましたが、コミュニティとチームの圧力により、ハッカーは最終的に全ての盗まれた資金を返還しました。この事件は、特に第三者開発に依存するブロックチェーンプロジェクトにとって、サプライチェーンの安全性の重要性を浮き彫りにしました。

No.7 BtcTurk

損失金額:5500 万ドル

攻撃方法:秘密鍵の漏洩

2024 年 6 月 22 日、トルコ最大の暗号通貨取引所 BtcTurk が秘密鍵漏洩攻撃を受け、5500 万ドルを超える暗号資産が盗まれました。Binance チームの支援により、530 万ドルの盗まれた資金が成功裏に凍結されましたが、他の資産は未回収のままです。この事件は、中央集権的取引所の秘密鍵管理に対する市場の懸念を深めました。

BtcTurk 公式が攻撃のお知らせを発表

No.8 Radiant Capital

損失金額:5300 万ドル

攻撃方法:秘密鍵の漏洩

2024 年 10 月 17 日、Radiant Capital のマルチシグウォレットがハッカーに襲撃されました。低いハードルの 3/11 の署名検証モードを採用していたため、ハッカーは 3 人の署名者の秘密鍵を掌握し、オフチェーン署名を行い、ウォレットコントラクトの所有権を悪意のあるアドレスに移転し、最終的に 5300 万ドルが盗まれました。この攻撃は、マルチシグウォレットの設計とガバナンスメカニズムに対する業界の反省を引き起こしました。

Radiant Capital はこの攻撃の前に、契約の脆弱性により 450 万ドルを損失し、1900 枚以上の ETH が盗まれました。Web3 プロジェクト側はセキュリティへの注目度を高める必要があります。

No.9 Hedgey Finance

損失金額:4470 万ドル

攻撃方法:コントラクトの脆弱性

2024 年 4 月 19 日、Hedgey Finance が複数のチェーン上の契約に対する攻撃に遭いました。ハッカーは ClaimCampaigns コントラクトの承認の脆弱性を利用し、Ethereum と Arbitrum の 2 チェーン上でトークンを成功裏に抽出し、総損失金額は 4470 万ドルに達しました。この事件は、コード監査の重要性、特にトークン承認ロジックの厳格な検証の重要性を示しています。

No.10 BingX

損失金額:4470 万ドル

攻撃方法:秘密鍵の漏洩

2024 年 9 月 19 日、BingX 取引所のホットウォレットがハッカーに侵入され、関連するチェーンには Ethereum、BNB Chain、Tron など複数のパブリックチェーンが含まれています。取引所は迅速に資産移転と出金凍結メカニズムを起動しましたが、ハッカーは既に 4470 万ドル相当の資産を抽出しました。この攻撃は、中央集権的取引所のホットウォレット管理の高リスク性を反映しており、業界がより安全な資産保管ソリューションを探求する推進力となりました。

2024 年のセキュリティ攻撃事件は頻発しており、ブロックチェーン業界の発展には安全の確保が不可欠であることを再び思い出させます。秘密鍵の漏洩から契約の脆弱性、内部管理の欠如から外部攻撃手段の進化まで、各事件は深い教訓をもたらしました。ますます複雑化する攻撃の脅威に対処するために、業界関係者は技術開発、管理規範、リスク管理に継続的に投資を強化する必要があります。未来において、業界の協力と技術革新によって、より安全なブロックチェーンエコシステムを共に構築し、ユーザーと投資家により信頼できる保障を提供できることを期待しています。