出典: Beosin
2024 年、ブロックチェーン業界は技術革新と生態系の拡大を経験する一方で、ますます深刻化するセキュリティ上の課題にも直面することになります。セキュリティ監査会社 Beosin の Alert プラットフォームによる監視によると、この記事の執筆時点で、ハッカー攻撃、フィッシング詐欺、プロジェクト関係者のラグ プルによる 2024 年の Web3 分野における損失総額は 24 億 9,100 万米ドルに達しています。
これらのインシデントは、秘密キー管理やスマート コントラクトの脆弱性などの技術的欠陥を暴露しただけでなく、ソーシャル エンジニアリングや内部管理の潜在的なリスクも浮き彫りにしました。この記事では、業界がそこから学び、将来のセキュリティ脅威に適切に対応できるように、2024 年の Web3 セキュリティ インシデントの上位 10 件を取り上げます。
No.1DMM ビットコイン
損失: 3 億 400 万ドル
攻撃手法:秘密鍵漏洩
2024年5月31日、日本の老舗仮想通貨取引所であるDMM Bitcoinが歴史的な攻撃に見舞われました。攻撃者は、漏洩した秘密キーを使用して 3 億ドル以上相当のビットコインを直接転送し、盗んだ資金を 10 を超える異なるアドレスにすぐに分散させました。この攻撃により、DMM Bitcoin の秘密鍵管理と多層セキュリティ保護の重大な欠陥が明らかになりました。同取引所はオンチェーン監視と資金凍結を通じてハッカーを追跡しようとしたが、盗まれたビットコインは通貨混合ツールを使って分散、転送、浄化され、追跡作業に大きな課題をもたらした。
12月24日、日本の警察はDMM Bitcoinの盗難が北朝鮮のハッカー組織Lazarus Groupによって引き起こされたと断定した。 Lazarus Group の過去の攻撃と資金洗浄の詳細な分析については、「 史上最も大胆な仮想通貨窃盗グループである Lazarus Group によるマネーロンダリングの分析」を参照してください。
No.2 プレイダップ
損失: 2 億 9,000 万ドル
攻撃手法:秘密鍵漏洩
2024 年 2 月 9 日、PlayDappは秘密鍵を盗むことにより、初期価値 3,650 万ドルの 20 億 PLA トークンを鋳造し、大きな打撃を受けました。プロジェクトチームとハッカーの間の交渉が失敗に終わったため、ハッカーは短期間にさらに159億のPLAトークン(2億5,390万米ドル相当)を鋳造した。これらのトークンの一部が Gate 交換に流入した後、PlayDapp は PLA 契約を一時停止し、PDA トークン契約に移行することを余儀なくされました。この事件は、秘密鍵の保護と緊急対応におけるブロックチェーン プロジェクトの欠点を浮き彫りにしました。
No.3 ワジルX
損失額:2億3,500万ドル
攻撃手法:ネットワーク攻撃とフィッシング
2024 年 7 月 18 日、インド最大の仮想通貨取引所である WazirX の Safe Wallet マルチシグネチャ ウォレットがハッカーによって正確に攻撃されました。攻撃者は、ソーシャル エンジニアリングを通じて複数署名者に契約アップグレード トランザクションに署名するよう誘導し、アップグレードされた契約権限を使用してウォレット内のすべての資産を転送しました。この事例は、マルチシグネチャウォレットの管理権限設定と運用の透明性における潜在的なリスクを浮き彫りにし、プロジェクトの内部リスク管理とセキュリティメカニズムについて業界での深い考察を引き起こすきっかけにもなりました。
この事件の詳細な分析と資金追跡については、「 Beosin | インド取引所 WazirX から盗まれた 2 億 3,500 万ドルの分析」をご覧ください。
第4回 ガラゲームズ
損失: 2 億 1,600 万ドル
攻撃手法:アクセス制御の脆弱性
2024 年 5 月 20 日、 Gala Games の特権アドレスがハッカーによって侵害され、攻撃者はトークン コントラクトの mint 関数を呼び出して一度に 50 億の GALA トークンを鋳造しました。その後、ハッカーは新しく発行されたトークンを一括して ETH に変換し、直接 2 億 1,600 万米ドルの損失を引き起こしました。事件後、Gala Games チームは緊急にブラックリスト機能を有効にして一部のハッカー アカウントをブロックし、司法ルートを通じて損失を回復しました。
No.5 クリス・ラーセン(リップル共同創設者)
損失額:1億1,200万ドル
攻撃手法:秘密鍵漏洩
2024年1月31日、リップルの共同創設者クリス・ラーセンの4つの個人ウォレットがハッキングされ、 1億1,200万ドルのXRPが盗難されました。これらのウォレットは、ハードウェア デバイスの二重保護が欠如しているため、標的にされている疑いがあります。事件後、バイナンスは420万ドル相当のXRPの凍結に成功し、盗まれた資産の追跡でラーセン氏を支援したが、資金のほとんどは分散型取引所や通貨混合サービスを通じて洗浄されたものだった。
No.6 マンチャブル
損失額:6,250万ドル
攻撃手法:ソーシャルエンジニアリング攻撃
2024 年 3 月 26 日、Blast ベースの Web3 ゲーム プラットフォーム Munchables がまれに起こる内部侵入攻撃を受けました。攻撃者はブロックチェーン開発者を装った北朝鮮のハッカーで、長期にわたる潜伏を通じてコアコードと機密キーを入手した。この攻撃により巨額の損失が発生しましたが、コミュニティやチームからの圧力により、ハッカーは最終的に盗んだ資金をすべて返却しました。この事件は、特にサードパーティの開発に依存するブロックチェーンプロジェクトにとって、サプライチェーンのセキュリティの重要性を明らかにしました。
No.7 ビーティーシーターク
損失額:5,500万ドル
攻撃手法:秘密鍵漏洩
2024 年 6 月 22 日、トルコ最大の仮想通貨取引所 BtcTurk が秘密鍵漏洩攻撃を受け、 5,500 万ドル以上の暗号資産を失いました。 Binance チームの支援により、盗まれた資金 530 万ドルの凍結に成功しましたが、他の資産はまだ回収されていません。この事件により、集中型取引所における秘密鍵の管理に対する市場の懸念が深まりました。
BtcTurkが攻撃を受けたことを公式発表
No.8 レディアントキャピタル
損失額:5,300万ドル
攻撃手法:秘密鍵漏洩
2024 年 10 月 17 日、Radiant Capital のマルチシグネチャ ウォレットがハッカーによって侵害されました。低しきい値の 3/11 署名検証モードにより、ハッカーは 3 人の署名者の秘密鍵を入手してオフチェーン署名を開始し、ウォレット契約の所有権を悪意のあるアドレスに移転し、最終的に 5,300 万ドルの盗難につながりました。この攻撃は、業界でマルチシグネチャウォレットの設計とガバナンスメカニズムを再考するきっかけとなりました。
この攻撃の前に、Radiant Capital は契約上の脆弱性により 450 万ドルを失い、1,900 ETH 以上が盗まれていました。 Web3 プロジェクト関係者は、セキュリティにさらに注意を払う必要があります。
第9位 ヘッジファイナンス
損失額:4,470万ドル
攻撃方法:契約の脆弱性
2024 年 4 月 19 日、Hedgey Finance は複数のオンチェーン契約に対する攻撃を受けました。ハッカーは、ClaimCampaigns 契約の承認の脆弱性を悪用し、イーサリアムとアービトラムの両方のチェーンからトークンを引き出すことに成功し、合計 4,470 万ドルの損失をもたらしました。このインシデントは、コード監査、特にトークン承認ロジックの厳密な検証の重要性を示しています。
No.10 ビングエックス
損失額:4,470万ドル
攻撃手法:秘密鍵漏洩
2024 年 9 月 19 日、 BingX 取引所のホットウォレットがハッキングされ、関与したチェーンにはイーサリアム、BNB チェーン、トロン、その他のパブリック チェーンが含まれていました。取引所はすぐに資産の移転と出金の凍結メカニズムを開始しましたが、ハッカーは4,470万ドル相当の資産を引き出すことに成功しました。この攻撃は、集中型取引所におけるホット ウォレット管理の高リスクの性質を反映しており、業界がより安全な資産ストレージ ソリューションを模索するようさらに推進しています。
2024年に多発するセキュリティ攻撃は、ブロックチェーン業界の発展がセキュリティの保護と切り離せないことを改めて思い起こさせます。秘密鍵の漏洩から契約の脆弱性、内部管理の監視から外部の攻撃手法のアップグレードに至るまで、あらゆる事件は深い教訓をもたらしました。ますます複雑化する攻撃の脅威に対処するために、業界のすべての関係者は、テクノロジーの研究開発、管理規制、リスクの予防と制御への投資を引き続き増加させる必要があります。将来的には、業界の協力と技術革新を通じてより安全なブロックチェーンエコシステムを共同で構築し、ユーザーと投資家により信頼性の高い保護を提供できることを楽しみにしています。