QRコードをスキャンしてダウンロードしてください。
ホームページ
記事
速報
Token Unlock
プロジェクトランキング
専題
専門コラム
ETF
ナレッジベース
カレンダー
イベント
ツールナビゲーション

CertiK:2023年第二四半期Web3.0業界安全報告の発表

CertiK
2023-07-06 17:09:28
コレクション
第2四半期を通じて、オラクル操作事件の数は明らかに減少しましたが、詐欺からの総損失は増加しており、悪意のある行為者が採用している戦術が変化したことを示しています。

著者:CertiK

まとめ

  • ハッカーなどの悪意のある行為者は、2023年第二四半期にWeb3.0業界から3.1億ドルの価値を搾取しました。
  • この数字は第一四半期の2億ドルの損失に近く、2022年第二四半期の7.45億ドルの損失から58%減少しています。
  • CertiKは合計212件のセキュリティ事件を発見しました。これは、第二四半期の各事件の平均損失が148万ドルであることを意味します。この数字は第一四半期の各事件の平均損失156万ドルからわずかに減少しました。
  • 98件の出口詐欺が投資家から7035万ドルを盗み、第一四半期の出口詐欺による3100万ドルの損失から倍以上の増加となりました。
  • 54件のフラッシュローン攻撃とオラクル操作事件により、攻撃者は2375万ドルを得ました。これは第一四半期の52件のオラクル操作による総損失2.22億ドルから大幅に減少しました。もちろん、前四半期はEuler Financeによる損失が非常に大きく、この脆弱性だけで前四半期の総額の85%を占めていました。
  • さらに、業界内ではいくつかの「オフチェーン」の大事件が発生しています:アメリカ証券取引委員会が仮想通貨の2つの最大取引所に対して告発を行い、世界最大の資産運用会社がビットコインETFの申請を提出しました。
  • 同時に、CertiKのセキュリティ研究者は、主要なブロックチェーンプロトコルやアプリケーションにおけるいくつかの重大な脆弱性を発見しました。これには、SuiのバリデータノードやZenGoのMPCウォレットにおけるセキュリティリスクが含まれます。

データの一部表示

概要

2023年第二四半期のWeb3.0分野で記録された総損失は313,566,528ドルで、前四半期とほぼ同じであり、前年同期と比較して58%減少しました。各事故の平均損失もわずかに減少しました。

第二四半期を通じて、オラクル操作事件の数は明らかに減少しましたが、出口詐欺の総損失は増加しており、悪意のある行為者が採用する戦術が変化したことを示しています。

業界の発展に伴い、MEVロボットに対する攻撃やSuiブロックチェーン上で発見された「ハムスターホイール」セキュリティ脅威のような事例は、セキュリティを深く掘り下げ、先手を打ち、常に警戒を保つことの重要性を証明しています。1つの課題を克服するごとに、より安全なWeb3.0空間に近づいています。

詳細については報告書をご覧ください。(文末に報告書のダウンロードリンクがあります)

MEVロボットが悪用される

4月初旬、MEVロボットがイーサリアムの16964664ブロックでハッカーに利用されました。悪意のあるバリデータがいくつかのMEV取引を置き換え、約2538万ドルの損失を引き起こしました。この事件は、これまでで最大のMEVロボットに対する攻撃です。この事件はイーサリアムブロック16964664で発生し、8つのMEV取引が悪意のあるバリデータによって利用されました。このバリデータは2023年3月15日に外部アドレス(EOA)0x687A9によって設立され、フラッシュボットでの先行取引を防ぐために浸透することに成功しました。

しかし、MEV-boost-relayの脆弱性により、悪意のあるバリデータは取引を再バンドルし、MEVロボットの一部の戦略を傍受することができました。特に逆取引においてです。上記の脆弱性により、バリデータは詳細な取引情報を確認できました。これらの詳細な取引情報を持って、悪意のあるバリデータは自分自身のブロックを構築し、最初のMEVロボット取引の前に自分の先行取引を挿入することができました。

全体として、この悪意のあるバリデータは5つのMEVロボットから約2500万ドルを盗むことに成功しました。これは現在までにCertiKが発見したMEVロボットの損失額が最も大きい事件の1つです。過去12ヶ月間で、6つのMEVロボットの脆弱性が発見されており、今回の事件だけで総損失2750万ドルの92%を占めています。悪意のあるバリデータはMEV-boost-relayの脆弱性を利用し、無効だが正しく署名されたブロックを提出することで攻撃を開始しました。ブロック内の取引を確認した後、バリデータはそれらを再バンドルし、MEVロボットから資産を要求することができました。この脆弱性はその後修正されました。

MEVロボットやサンドイッチ攻撃に関する詳細については、報告書をご覧ください。(文末に報告書のダウンロードリンクがあります)

Atomic Walletがハッキングされる

今年6月初旬、5000人以上のAtomic Walletユーザーが今四半期最大のセキュリティ事件に遭遇し、1億ドル以上の損失を被りました。最初、Atomic Walletは月間アクティブユーザーの1%未満がこの事件の被害者であると述べましたが、その後0.1%未満に変更しました。この規模の攻撃と巨額の損失は、ウォレットアプリケーションにおけるセキュリティ脆弱性の深刻さを浮き彫りにしています。攻撃者はユーザーの秘密鍵をターゲットにし、彼らの資産に対する完全な制御を得ました。鍵を取得した後、彼らは資産を自分のウォレットアドレスに移転し、被害者のアカウントを空にすることができました。

小口投資家から報告された損失額は様々で、その中には795万ドルに達するものもありました。最も損失が大きい5人の小口投資家の累積損失は1700万ドルに達しました。損失を回復するために、Atomic Walletは攻撃者に対して提案を公開し、盗まれた資金の10%を放棄する代わりに90%の盗まれたトークンを返還することを約束しました。しかし、Lazarus Groupの過去の記録に加え、盗まれた資金がすでに洗浄され始めているため、資金を回収する希望は非常に薄いです。

Atomic Walletや「背後の黒幕」に関する分析の詳細については、報告書をご覧ください。(文末に報告書のダウンロードリンクがあります)

Sui「ハムスターホイール」新型脆弱性

以前、CertiKチームはSuiブロックチェーンで一連のサービス拒否脆弱性を発見しました。これらの脆弱性の中で、新型かつ深刻な影響を持つ脆弱性が特に注目されます。この脆弱性は、Suiネットワークのノードが新しい取引を処理できなくなり、ネットワーク全体が完全に停止したのと同じ効果をもたらします。CertiKはこの重大なセキュリティ脆弱性を発見したため、Suiから50万ドルの脆弱性報奨金を受け取りました。アメリカの業界の権威あるメディアCoinDeskがこの事件を報じ、その後各メディアも続いて関連ニュースを発表しました。

このセキュリティ脆弱性は「ハムスターホイール」と形象的に呼ばれています:その独特な攻撃方法は現在知られている攻撃とは異なり、攻撃者は約100バイトのペイロードを提出するだけで、Suiのバリデータノード内で無限ループを引き起こし、新しい取引に応答できなくします。さらに、攻撃による損害はネットワーク再起動後も持続し、Suiネットワーク内で自動的に拡散し、すべてのノードがハムスターのようにホイールの上で無休で走り続け、新しい取引を処理できなくなることになります。したがって、この独特な攻撃タイプを「ハムスターホイール」攻撃と呼んでいます。

この脆弱性を発見した後、CertiKはSuiの脆弱性報奨金プログラムを通じてSuiに報告しました。Suiは迅速に効果的な対応を行い、この脆弱性の深刻性を確認し、メインネットの立ち上げ前に問題の修正に積極的に取り組みました。

この特定の脆弱性を修正するだけでなく、Suiはこの脆弱性が引き起こす可能性のある潜在的な損害を軽減するための予防措置を実施しました。CertiKチームが責任を持って開示したことに感謝し、SuiはCertiKチームに50万ドルの報奨金を授与しました。

詳細については報告書をご覧ください。(文末に報告書のダウンロードリンクがあります)

MPCウォレットに基づくサーバーレベルの脆弱性

マルチパーティ計算(MPC)は、複数の参加者がその入力の関数を計算しながら、これらの入力のプライバシーを保護する暗号化方法です。その目的は、これらの入力が第三者と共有されないようにすることです。この技術には、プライバシーを保護するデータマイニング、安全なオークション、金融サービス、安全なマルチパーティ機械学習、そして安全なパスワードと機密情報の共有など、さまざまな応用があります。

CertiKのSkyfallチームは、現在人気のあるマルチパーティ計算(MPC)ウォレットZenGoの予防的なセキュリティ分析を行う過程で、このウォレットのセキュリティアーキテクチャに「デバイスフォーク攻撃」と呼ばれる深刻な脆弱性が存在することを発見しました。攻撃者はこれを利用してZenGoの既存のセキュリティ対策を回避し、ユーザーの資金を制御する機会を得ることができます。この攻撃の鍵は、API内の脆弱性を利用して新しいデバイスキーを作成し、ZenGoサーバーを欺いてそれを実際のユーザーのデバイスとして認識させることです。

責任ある開示の原則に基づき、Skyfallチームは迅速にZenGoにこの脆弱性を報告しました。問題の深刻性を認識した後、ZenGoのセキュリティチームは迅速に修正作業を行いました。攻撃の可能性を防ぐために、この脆弱性はサーバーのAPIレベルで修正され、クライアントコードの更新は不要となりました。脆弱性の修正が完了した後、ZenGoはこれらの発見を公に認め、CertiKがそのMPCウォレットのセキュリティと信頼性を強化する上で重要な役割を果たしたことに感謝しました。

「マルチパーティ計算は広範な可能性を持ち、Web3.0分野において多くの重要な応用があります。MPC技術は単一障害点のリスクを減少させますが、MPCソリューションの実装は暗号通貨ウォレットの設計に新たな複雑さをもたらします。この複雑さは新たなセキュリティリスクを引き起こす可能性があり、包括的な監査と監視方法が不可欠であることを示しています。」------ 李康教授、CertiK最高セキュリティ責任者

詳細については報告書をご覧ください。(文末に報告書のダウンロードリンクがあります)

報告書の一部内容表示

ダウンロード方法

  1. リンクをブラウザにコピー:http://certik-2.hubspotpagebuilder.com/2023-q2-web3-cn-0 ですぐにダウンロード。

  2. CertiK公式WeChatアカウントをフォローし、バックグラウンドで「2023第二四半期報告」とメッセージを送信すれば、PDFダウンロードリンクを取得できます。

関連タグ
CertiK セキュリティ事件 ハッカー攻撃
ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
banner
CertiK
CertiK ブロックチェーンセキュリティ会社は、形式的検証とAI技術を活用して、エンドツーエンドのブロックチェーンセキュリティ監査サービスを提供しています。
ソラナ資金渦巻:ラグプラーはなぜお金を失うために努力しているのか?
ソラナ資金渦巻:ラグプラーはなぜお金を失うために努力しているのか?
二つのZK脆弱性を深く分析する
二つのZK脆弱性を深く分析する
関連タグ
CertiK セキュリティ事件 ハッカー攻撃
関連読み物
Web3 法律知識:他人に暗号通貨への投資を委託した場合、損失が出たらどうする?
Web3 法律知識:他人に暗号通貨への投資を委託した場合、損失が出たらどうする?
11月のWeb3セキュリティ事件のまとめ:総損失約8,624万ドル
11月のWeb3セキュリティ事件のまとめ:総損失約8,624万ドル
Memeのブラックスワンに焦点を当てる:オンチェーン取引所DEXXの大規模盗難事件
Memeのブラックスワンに焦点を当てる:オンチェーン取引所DEXXの大規模盗難事件
DEXX 独占インサイダー:社長は94年生まれで、学歴は中学校卒業だけ?
DEXX 独占インサイダー:社長は94年生まれで、学歴は中学校卒業だけ?
著作権 © 2023年
私たちについて
メディアリソース
コラムの申請
免責声明
RSSリンク
募集
琼ICP备2021009392号
琼ICP备2021009392号
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する
アプリを開く