2月のWeb3セキュリティ事件のまとめ：総損失は4.04億ドル

執筆：慢霧セキュリティチーム

概要

慢霧ブロックチェーンハッキングアーカイブ (https://hacked.slowmist.io) の統計によると、2024年2月には28件のセキュリティ事件が発生し、総損失は約4.04億ドルに達しました。原因は、契約の脆弱性、DDoS攻撃、フラッシュローン攻撃、秘密鍵の漏洩、アカウントの盗難などが含まれます。

主な事件

Phantom

2024年2月2日、暗号ウォレットPhantomはDDoS攻撃を受け、システムが過負荷になる試みがあり、一部のサービスが一時的に中断される可能性があると発表しましたが、ユーザーの資産は安全です。その後、PhantomはTwitterで、すべてのサービスが正常に復旧し、再び順調に稼働していると報告しました。

(https://twitter.com/phantom/status/1753100432145318116)

Starlay Finance

2024年2月8日、Polkadotエコシステムの貸付プロトコルStarlay Financeが攻撃を受け、約210万ドルの損失が発生しました。2月9日、Starlay Financeは初期分析の結果、今回の攻撃は流動性指数の計算ミスが利用されたもので、無許可の引き出しが発生したとツイートしました。

(https://twitter.com/starlay_fi/status/1755856271184654360)

PlayDapp

2024年2月10日、ブロックチェーンゲームプラットフォームPlayDappが攻撃を受け、ハッカーのアドレスが鋳造者として追加され、2億PLAトークン（約3650万ドル）が鋳造されました。事件発生後、PlayDappはチェーン上の取引を通じてハッカーにメッセージを送り、盗まれた資金の返還と100万ドルのホワイトハット報酬を要求しましたが、最終的に交渉は失敗しました。2月12日、PlayDappは二次攻撃を受け、ハッカーはさらに15.9億PLAトークン（約2.539億ドル）を鋳造し、暗号通貨取引所を通じて移転を開始しました。統計によると、ハッカーの攻撃により約2.9億ドルの損失が発生しました。

(https://twitter.com/playdapp_io/status/1756060784692736038)

Duelbits

2024年2月14日、暗号賭博プラットフォームDuelbitsのホットウォレットが攻撃を受け、約460万ドルの損失が発生しました。盗難の原因は秘密鍵の漏洩と疑われています。

(https://twitter.com/Duelbits/status/1758159495807541459)

FixedFloat

2024年2月17日、チェーン上のデータによると、暗号通貨取引所FixedFloatが攻撃を受け、約2610万ドルのビットコインとイーサリアムが盗まれました。FixedFloatはこの攻撃事件に関して、今回のハッカー攻撃はセキュリティ構造の脆弱性による外部攻撃であり、従業員によるものではないと明言しました。ユーザーの資金は「外部攻撃」の影響を受けていないとしています。2月18日、FixedFloatはTwitterで「確かにハッカー攻撃と資金の盗難が存在することを確認しました。この件について公にコメントする準備は整っていません。すべての潜在的な脆弱性を排除し、安全性を向上させ、調査を行うために努力しています。FixedFloatのサービスはすぐに復旧し、この事件に関する詳細情報を後ほど提供します。」と述べました。

(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)

Blueberry Protocol

2024年2月22日、DeFi貸付プロトコルBlueberry Protocolが攻撃を受け、約457.7 ETH（約135万ドル）の損失が発生しました。この攻撃はホワイトハットハッカーc0ffeebabe.ethによって阻止され、366 ETHがBlueberry Protocolに返還されました。Blueberry Protocolの事件分析報告によると、今回の攻撃はオラクルのデプロイミスによるものでした。

(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)

BitForex

2024年2月23日、香港に本社を置くBitForex暗号通貨取引所が疑わしい資金流出が約5650万ドル発生した後、プラットフォームのアクセスを停止しました。チェーン上の探偵ZachXBTが最初にこの取引所の出金異動に気付き、同取引所は出金処理を停止し、顧客に返信していないと指摘しました。この会社は2023年中に無許可営業で日本の規制当局の審査を受け、取引量を誇張したとして告発されました。CEOは1月に辞任し、新しいチームが引き継ぐことを約束しました。

(https://twitter.com/zachxbt/status/1762028433574650347)

Jihoz

2024年2月23日、Axie Infinityの共同創設者JihozがTwitterで、個人の2つのアドレスが漏洩したと発表しました。今回の攻撃の範囲は彼の個人アカウントに限られ、Roninチェーンの検証や運営には関係ありません。また、漏洩した鍵はSky Mavisの運営とは無関係です。彼は、すべてのチェーン関連活動に対して厳格なセキュリティ対策を講じていることを皆に保証したいと述べました。統計によると、今回の攻撃により約1000万ドルの損失が発生しました。

(https://twitter.com/Jihoz_Axie/status/1760845078757511562)

Seneca

2024年2月28日、全チェーンCDPプロトコルSenecaが契約の脆弱性によりハッカーに攻撃されました。ハッカーは構築したcalldataパラメータを利用してtransferfromを呼び出し、プロジェクト契約に許可されたトークンを自分のアドレスに移転し、最終的にETHに交換しました。Senecaはハッカーに1900枚以上のETHを盗まれ、約650万ドルの価値がありました。2月29日、Senecaのハッカーは1537枚のETH（約530万ドル）をSenecaのデプロイ者アドレスに返還しました。

(https://twitter.com/SlowMist_Team/status/1762865505042645010)

Shido Network

2024年2月29日、Ethereumチェーン上の分散型クロスチェーンプロトコルShido Networkが疑わしい運営を行っているとされました。SHIDOトークンのステーキング契約の所有者は、まずステーキング契約をアップグレードし、その後大量のSHIDOを引き出し、最終的に692枚のETH（約210万ドル）の価格で大量のSHIDOを売却しました。

まとめ

今月の28件の主要なセキュリティ事件の中で、2つのプロジェクト（Blueberry ProtocolとSeneca）が合計約638万ドルの盗まれた資金を回収しました。今月の3件の秘密鍵漏洩事件の損失は約3.04億ドルに達し、今月のセキュリティ事件の総損失の約75%を占めています。慢霧セキュリティチームは、ユーザーとプロジェクト側に対し、秘密鍵の保護対策を強化することを推奨しています。例えば、ハードウェアウォレットやオフラインストレージなどの方法を使用して、秘密鍵の安全性を高めることが重要です。また、今月の4件の契約の脆弱性利用事件は約725万ドルの損失を引き起こしました。慢霧セキュリティチームは、プロジェクト側に対し、常に警戒を怠らず、定期的にセキュリティ監査を行い、新たなセキュリティ脅威や脆弱性を追跡し、解決することで、プロジェクトと資産の安全を最大限に保護することを推奨しています。最後に、本文に収録された事件は今月の主要なセキュリティ事件であり、個人ユーザーの盗難事件は統計に含まれていません。