ChainCatcher のメッセージ、Beosin Alert が X プラットフォームで発表しました。現在、約 2800 の DEXX 被害者アドレスが収集され、盗まれた取引は 9000 件以上に上ります。また、一部の盗まれたアドレスの資金を分析したところ、盗まれた資金は依然としてハッカーのアドレスに保管されており、まだ転送されていないことがわかりました。おそらく同一のハッカーによるもので、ハッカーは被害者のトークン残高に基づいて送金を行い、価値の降順に並べていると推測されます。

ChainCatcher のメッセージによると、Beosin Alert の監視および警告によれば、9 月 25 日時点で、2024 年 Q3 の Web3 分野におけるハッキング、フィッシング詐欺、プロジェクトの Rug Pull による総損失は 7.3 億ドルに達しました。その中で、主な攻撃事件は 23 件で、総損失額は約 4.3 億ドル；プロジェクトの Rug Pull 事件は 3 件で、総損失は約 424 万ドル；フィッシング詐欺の総損失額は約 2.95 億ドルです。攻撃を受けたプロジェクトの種類から見ると、損失が最も大きいプロジェクトの種類は CEX で、CEX に対する 3 回の攻撃は合計で約 2.97 億ドルの損失をもたらし、すべての攻撃損失額の約 40.6% を占めています。各チェーンの損失額を見ると、Ethereum は依然として損失額が最も高く、攻撃事件が最も多いチェーンです。Ethereum 上での 21 回の攻撃およびフィッシング事件は、3.48 億ドルの損失を引き起こし、総損失の約 47.6% を占めています。攻撃手法から見ると、Q3 では合計 5 回の秘密鍵漏洩事件が発生し、損失は 3.05 億ドルに達し、総攻撃損失額の約 41.7% を占めており、最も割合が高い攻撃タイプです。資金の流れを見ると、約 1690 万ドルの盗まれた資金が凍結または回収されました。大部分（約 78.9%）の盗まれた資金は依然として攻撃者のチェーン上のアドレスに保管されています。2023 年同期と比較すると、2024 年 Q3 におけるハッキング、フィッシング詐欺、プロジェクトの Rug Pull による総損失は若干減少し、7.3 億ドルに達しました（2023 年 Q3 のこの数字は 8.89 億ドルでした）。2024 年 Q3 のコイン価格の下落などの要因が総額の減少に一定の影響を与えていますが、全体的に見て Web3 セキュリティ分野の状況は依然として楽観的ではありません。Q3 の 20 件以上の攻撃事件の中で、依然として 18 件は契約の脆弱性を利用したものであり、プロジェクト側はローンチ前に専門のセキュリティ会社に監査を依頼することをお勧めします。

ChainCatcher のメッセージによると、Beosin Alert の監視で、Bedrock プロジェクトの契約に脆弱性があり、約 170 万ドルの資産が盗まれたことが示されています。分析によると、今回の攻撃の根本的な原因は、プロジェクト内の mint 関数がユーザーが担保した ETH を同じ数量の uniBTC に鋳造することにあり、両者の価格差を考慮していなかったことです。攻撃者はすべてのトークンを ETH に交換しました。

ChainCatcher のメッセージによると、Beosin Alert の監視により、Indodax 取引所がハッキングされ、ハッカーは約 1700 万ドルの暗号資産を獲得したことが示されています。ハッキング手法：攻撃者は未知の手段を用いて Indodax 取引所のホットウォレットへのアクセス権を取得し、その権限を利用してイーサリアム、Polygon、Optimism チェーン上で大量の資産を複数のアドレスに移転しました。そのうちの大部分の資産はイーサリアムチェーン上で ETH に交換されました。影響を受けたブロックチェーン：イーサリアム、Polygon、Optimism

ChainCatcher のメッセージによると、Beosin Alert の監視により、Pendle 上に構築された DeFi プロトコル Penpie がハッキングされ、約 2700 万ドルの暗号資産が盗まれたことが示されています。Beosin はこの事件について以下のように分析しています：攻撃者は market コントラクトの claimRewards 関数を利用して再入札を行い、staking コントラクトの残高を増加させ、その後、taking コントラクトの余剰トークンと質押資産を引き出して利益を得ました。攻撃者はまず攻撃コントラクトを作成し、公式の factory によって構築された対応する market コントラクトを使用しました。staking コントラクトの batchHarvestMarketRewards 関数を呼び出して、その market の報酬を更新しました。報酬を更新する際に攻撃コントラクトの claimRewards 関数がコールバックされ、この関数が再入札を行い、フラッシュローンで取得した資産を質押し、staking コントラクトの資産に数量差を生じさせ、余剰を引き出しました。攻撃者は質押した資産を引き出し、フラッシュローンを返済して利益を得ました。

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ監査会社 Beosin Alert の監視により、Ronin Bridge プロジェクトで異常なクロスチェーン資産の引き出し行為が発生していることが示されています。Beosin セキュリティチームの分析によれば、今回の異常行為の根本的な原因は、プロジェクト側が契約をアップグレードする際に、クロスチェーン取引確認に必要な operator 重みを正常に初期化しなかったためであり、その結果、契約内の minimumVoteWeight パラメータがゼロになり、誰の署名でもクロスチェーン検証を通過できるようになってしまいました。現在、Ronin bridge では 3,996 ETH が流出しており、資金は 0xc6a で始まるアドレスに保管されています（このアドレスは MEV ボットであるため、ホワイトハット行為の可能性が推測されます）。Beosin は現在、プロジェクト側と協力してこの事件を処理しています。

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ監査会社 Beosin Alert の監視によれば、2024 年 7 月には、さまざまなセキュリティ事件による損失額が 6 月に比べて大幅に増加しました。2024 年 7 月には、典型的なセキュリティ事件が 20 件以上発生し、ハッカー攻撃、フィッシング詐欺、Rug Pull による総損失額は 2.86 億ドルに達し、6 月に比べて約 56.3% 増加しました。その中で、攻撃事件は約 2.71 億ドルで、約 92.2% 増加；フィッシング詐欺事件は約 1210 万ドルで、約 67.6% 減少；Rug Pull 事件は約 358 万ドルで、約 13.1% 減少しました。7 月のハッカー攻撃の最大の事件は、インドの取引所 WazirX からのもので、損失は約 2.3 億ドルで、当月の攻撃事件の金額の 85% を占めています。第二の大きな攻撃事件は、LI.FI が契約の脆弱性により約 1160 万ドルの損失を被ったものです。今月も引き続き、100 万ドルを超えるフィッシング詐欺や Rug Pull の事件が発生しており、ユーザーは警戒を高める必要があります。

ChainCatcher メッセージBeosin Alert の監視警告によると、Terra チェーンは緊急アップグレードのために一時停止しました。誰かが IBC の脆弱性を利用して、Terra チェーン上で複数のトークンを鋳造したようです。これには ASTRO が含まれています。Beosin セキュリティチームの分析によると、攻撃者は Terra 上でコントラクトをインスタンス化した後、ibc-hooks のタイムアウトコールバックの再入可能性の脆弱性を利用して、約 6000 万枚の ASTRO、350 万枚の USDC、50 万枚の USDT、および 2.7 枚の BTC を移転しました。合計で約 528 万ドルの価値があります。この脆弱性は今年の 4 月に公開され、cosmos 基礎ライブラリの脆弱性に該当しますが、Terra は修正していません。

ChainCatcher のメッセージによると、Beosin Alert の監視警告により、インドの取引所 WazirX が攻撃を受け、攻撃者が取引所のマルチシグウォレット管理者の署名データを取得し、ウォレットのロジックコントラクトを変更して、ウォレットが誤ったロジックを実行し、資産を盗むことが判明しました。攻撃者アドレス：0x6eedf92fb92dd68a270c3205e96dccc527728066被攻撃アドレス：0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4攻撃者の行動に基づき、マルチシグウォレットの管理者の秘密鍵が漏洩したことが原因と推測され、Beosin は攻撃原因を以下のように簡潔に分析しました：攻撃者が攻撃コントラクトをデプロイ：0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4。このコントラクトの機能は、本コントラクトで指定されたトークン資産を引き出すことです。攻撃者は WazirX のマルチシグウォレット管理者の署名データを取得し、ウォレットのロジックコントラクトを既にデプロイされた攻撃コントラクトに変更しました。対応する取引は：https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d攻撃者は WazirX のマルチシグウォレットにトークン引き出し取引を提出しました。代理モードのメカニズムにより、ウォレットコントラクトは delegatecall を使用して攻撃コントラクトの関連関数を呼び出し、ウォレットのトークンを移動させます。盗まれた資金の一部のフローチャートによると、現在のところ、ハッカーは一部の資金を Changenow と Binance 取引所に移転させたようです。

ChainCatcher のメッセージによると、Beosin Alert の監視警告で、クロスチェーンプロトコル LI.FI が攻撃を受けたことが発見されました。主に攻撃者はプロジェクト契約の call 注入を利用して、契約に対して権限を与えられたユーザーの資産を移転させました。Beosin Trace は盗まれた資金を追跡した結果、損失額は 633.59 万 USDT、319.19 万 USDC、16.95 万 DAI で、約 1000 万ドルに上ります。攻撃は ETH および Arbitrum の 2 つのチェーンで発生しました。現在、大部分の資金は ETH に変換されており、新たな動向はありません。Beosin はハッカー関連のアドレスを KYT ブラックリストに追加し、今後も追跡を続けて注視していきます。

ChainCatcher のメッセージによると、Beosin Alert の監視警告で、クロスチェーンプロトコル LI.FI が攻撃を受けたことが発見されました。Beosin セキュリティチームは、攻撃者がプロジェクトコントラクトの call 注入を利用して、コントラクトに権限を与えられたユーザーの資産を移転させる脆弱性を発見しました。LI.FI プロジェクトコントラクトには、指定されたトークンをプラットフォームトークンに交換し、GasZip コントラクトに預け入れる depositToGasZipERC20 関数がありますが、交換ロジックのコードが call 呼び出しのデータに対する制限を設けていないため、攻撃者はこの関数を利用して call 注入攻撃を行い、コントラクトに権限を与えられたユーザーの資産を引き出すことが可能です。攻撃者アドレス：0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3攻撃を受けたコントラクト：0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE現在までのところ、損失額は 633.59 万 USDT、319.19 万 USDC、16.95 万 DAI、約 1000 万ドルです。Beosin Trace は盗まれた資金の追跡を行っています。

ChainCatcher のメッセージによると、Beosin Alert の監視と警告によれば、2024 年上半期に Web3 分野でのハッカー攻撃、フィッシング詐欺、プロジェクト側の Rug Pull による総損失は 15.4 億ドルに達しました。その中で主要な攻撃事件は 78 件あり、43 件は契約の脆弱性を利用したもので、総損失額は約 11.93 億ドルです；プロジェクト側の Rug Pull 事件は 64 件で、総損失は約 1.19 億ドル；フィッシング詐欺の総損失額は約 2.32 億ドルです。2024 年上半期には、損失額が 1 億ドルを超える安全事件が 3 件発生しました。5 月の総損失額は 4.5 億ドルに達し、2024 年上半期の損失額が最も高い月となりました。攻撃されたプロジェクトのタイプを見ると、損失が最も大きいプロジェクトタイプは CEX で、CEX に対する 4 回の攻撃で約 3.92 億ドルの損失が発生し、すべての攻撃損失額の 32.8% を占めています。各チェーンの損失額を見ると、Ethereum は依然として損失額が最も高く、攻撃事件が最も多いチェーンです。Ethereum 上での 32 回の攻撃事件は 4.7 億ドルの損失を引き起こし、総損失の 39.4% を占めています。攻撃手法の観点から見ると、上半期には 22 回の秘密鍵漏洩事件が発生し、損失は 8.94 億ドルに達し、総攻撃損失額の約 75% を占めており、最も割合が高い攻撃タイプです。資金の流れを見ると、約 4.7 億ドル（39.3%）の盗まれた資金が凍結または回収されました。この割合は 2023 年に比べて著しく向上しました。

ChainCatcher のメッセージによると、Beosin Alert の監視により、DMM Bitcoin のハッカーが 6 月 12 日に 500 枚の BTC（約 3400 万ドル）を 2 つの新しいアドレスに転送したことが確認されました：300 枚の BTC が bc1qc6 で始まるアドレスに、200 枚の BTC が bc1qln で始まるアドレスに転送されました。

ChainCatcher のメッセージによると、Beosin Alert の監視により、日本の暗号取引プラットフォーム DMM Bitcoin から盗まれた 4502.9 BTC（約 3.059 億ドル）が 1B6rJRfjTXwEy36SCs5zofGMmdv2kdZw7P アドレスに転送され、その後 10 のアドレスに分配されました。

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ監査会社 Beosin Alert の監視によれば、2024 年 5 月には、さまざまなセキュリティ事件による損失額が 4 月よりも増加しました。2024 年 5 月には、典型的なセキュリティ事件が 27 件以上発生し、ハッカー攻撃、フィッシング詐欺、Rug Pull による総損失額は 1.54 億ドルに達し、4 月から約 52.5% 増加しました。その中で、攻撃事件は約 5451 万ドルで、約 3.7% 増加；フィッシング詐欺事件は約 9740 万ドルで、約 754% 増加；Rug Pull 事件は約 204 万ドルで、約 94.5% 減少しました。今月は、損失が 1000 万ドルを超えるハッカー攻撃事件が 2 件発生しました：ゲームプラットフォーム Gala Games は秘密鍵の漏洩により 2250 万ドルの損失、Sonne Finance は契約の脆弱性により 2000 万ドルの損失を被りました。今月はフィッシング詐欺事件が大幅に増加し、損失額が 100 万ドルを超えるフィッシング事件が多発しました。その中には、損失額が 7200 万ドルに達するアドレス中毒詐欺が含まれています。今月は暗号犯罪事件が引き続き増加し、複数の事件で関与額が 1 億ドルを超えました。

ChainCatcher のメッセージによると、Beosin Alert の監視警告により、OP チェーン上の Sonne Finance プロトコルがハッカーによるフラッシュローン攻撃を受け、攻撃者は複数回にわたって攻撃を行い、約 2000 万ドルの損失を引き起こしたことが判明しました。Beosin セキュリティチームの分析によると、攻撃者はフラッシュローンを通じて VELO トークンを借り入れ、transfer を介して soVELO コントラクトに送信し、新しいコントラクトを複数回作成し、新しいコントラクト内で Sonne Finance プロトコルのさまざまなトークンを借り入れ、VELO トークンを償還するという操作を繰り返し、すべての資金を盗みました。現在、攻撃者は主に以下のアドレスに資金を保管しています：0x02FA2625825917E9b1F8346a465dE1bBC150C5B90x5D0D99e9886581ff8fCB01F35804317f5eD80BBb0xae4A7cDe7C99fb98B0D5fA414aa40F0300531F43Beosin Trace は引き続き盗まれた資金の動向を監視します。

ChainCatcher のメッセージによると、Beosin Alert の監視と警告によれば、2024 年第一四半期における Web3 分野でのハッカー攻撃、フィッシング詐欺、プロジェクト側の Rug Pull による総損失は 7.78 億ドルに達しました。その中で、主要な攻撃事件は 39 件で、総損失額は約 6.17 億ドル；プロジェクト側の Rug Pull 事件は 43 件で、総損失は約 7550 万ドル；フィッシング詐欺の総損失額は約 8624 万ドルです。2024 年第一四半期の総損失は約 7.78 億ドルで、前年同期比で約 126% 増、前四半期比で約 72% 増です。その中で、ハッカー攻撃事件の損失額は 2023 年のいかなる四半期よりも高く、2 月の総損失額は 4.22 億ドルに達し、2024 年第一四半期の損失額が最も高い月となりました。攻撃を受けたプロジェクトのタイプを見ると、ゲームプラットフォームが初めて損失額の最も高いプロジェクトタイプとなりました。Web3 ゲームプラットフォームに対する 6 回の攻撃は、合計 3.65 億ドルの損失を引き起こし、すべての攻撃損失額の 59% を占めています。各チェーンの損失額を見ると、Ethereum が依然として損失額が最も高く、攻撃事件が最も多いチェーンです。Ethereum 上の 18 回の攻撃事件は、3.42 億ドルの損失を引き起こし、総損失の 55.4% を占めています。攻撃手法を見ると、今四半期には 13 回の秘密鍵漏洩事件が発生し、損失は 4.58 億ドルに達し、総攻撃損失額の 74.3% を占め、最も割合の高い攻撃タイプとなっています。Beosin KYT 反マネーロンダリング分析プラットフォームの監視によれば、資金の流れを見ると、今四半期の大部分の盗まれた資産は凍結され、回収されました。約 3.03 億ドル（49.2%）の盗まれた資金が凍結され、7945 万ドル（12.9%）の盗まれた資金が回収されました。監査状況を見ると、攻撃を受けたプロジェクトの中で、監査を受けたプロジェクトの割合が増加しています。

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ監査会社 Beosin の KYT マネーロンダリング分析プラットフォームの監視結果では、2024 年 2 月における各種セキュリティ事件の損失額が 1 月に比べて大幅に増加したことが示されています。2024 年 2 月には、典型的なセキュリティ事件が 19 件以上発生し、ハッカー攻撃、フィッシング詐欺、Rug Pull による総損失額は 4.22 億ドルに達し、1 月に比べて約 102% 増加しました。その内訳は、攻撃事件が約 3.47 億ドルで約 110% 増加、フィッシング詐欺事件が約 1608 万ドルで約 52% 減少、Rug Pull 事件が約 5938 万ドルで約 440% 増加しています。2 月の最大の攻撃事件は、暗号ゲームプラットフォーム PlayDapp が秘密鍵の漏洩により攻撃を受け、損失が 2.9 億ドルに達したもので、今年に入って最も損失が大きいセキュリティ事件です。その他、1,000 万ドルを超える事件には、中央集権型取引所 FixedFloat が攻撃を受け、損失が 2610 万ドル、Axie Infinity の共同創設者 Jihoz.ron の個人アドレスが秘密鍵の漏洩により約 1000 万ドルの損失を被りました。さらに、香港の取引所 Bitforex では Rug Pull の疑いがあり、ホットウォレットから異常に 5650 万ドルが流出しました。

ChainCatcher のメッセージによると、Beosin KYT 反マネーロンダリング分析プラットフォームは、Ronin チェーン上の 0x121ad060686848b196df8ca5c5e24722efe57115、jihoz.ron (0xa09a9b6f90ab23fcdcd6c3d087c1dfb65dddfb05) アドレスが私鍵の漏洩の疑いがあると示しています。複数のトークンが 0x39f817976c51a91b60145febad81067e69713105 アドレスに転送された後、ETH に交換され、イーサリアムにクロスチェーンされ、その後直接 Tornado.cash に流入しました。

ChainCatcher のメッセージ、セキュリティ機関 Beosin が X プラットフォームで発表したところによると、Sei とさらなるエコシステム協力を開始し、Sei エコシステムプロジェクトのスマートコントラクトのセキュリティ監査をサポートしています。現在、Beosin は Sei エコシステムで最大の流動性ステーキングプラットフォーム Kryptonite の契約監査を完了しており、今後 Beosin はさらに多くの Sei エコシステムプロジェクトにセキュリティサービスを提供し、Sei エコシステムの安全な発展を支援します。