Cointime

Download App
iOS & Android

2023 年 9 月の暗号化セキュリティ インシデントのレビュー

Validated Venture

作者: OKリンク

1. 基本情報

2023 年 9 月、REKT および RugPull 事件により累積損失は約 1 億 1,434 万米ドルとなり、前月の損失 4,182 万米ドルから大幅に増加し、報告された事件数は大幅に減少しました。先月の問題に続き、老舗の主要プロジェクトであるバランサーでも今月、フロントエンド ページでセキュリティの問題が発生し、BGP または DNS ハイジャック攻撃を受けました。しかし、プロジェクト チームは脆弱性に関するフィードバックを受け取った後、迅速に対応したため、損失は大幅に軽減されました。今月最大の損失を出したのは仮想通貨取引所CoinExで、損失額は最大7,000万米ドルに達した。今月の RugPull インシデントの数は、前月に比べて減少しました。今月の RugPull 事件では、主に ETH チェーンと BSC チェーンで発生し、ユーザーに 232 万米ドルの損失をもたらしました。最後に、ソーシャルメディアフィッシング事件は依然として相次いでおり、プロジェクトオーナーのDiscordやTwitterの権限が管理され、フィッシングリンクが公開される事件も時折発生しています。

1.1 REKTの在庫

No.1

9 月 4 日、ETH チェーンの世界最大の仮想通貨カジノである Stake.com がハッカー攻撃を受け、4,130 万米ドルの損失を引き起こしました。同プラットフォームはすべての入金と出金を停止し、多くのユーザーが資金を引き出すことができなくなった。公式発表では、ステークのETH/BSCホットウォレットが不正な取引を行っていたと発表されました。

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x53a2955e4d332c9fde95e20576851971132fe6b41df3474dcff5820b683d11b2

https://www.oklink.com/cn/eth/tx/0xfc62e5c5370bea0608ca1861dded21829298b5b84a37ba92f8de65db5d1da244

https://www.oklink.com/cn/eth/tx/0xdd0e92f674778aca4eb36db9c247b6316eacb2277e15ba3c41dd3a2f51f41ef9

https://www.oklink.com/cn/eth/tx/0x8f442f4411eb566d3bb64e7816cc73e8b8f4016dd793bab9981a483864ddacd1

https://www.oklink.com/cn/eth/tx/0x22d556dcd9e49552041b27b79b871b7c0c8de9ed9cac0260738666145ff82188

https://www.oklink.com/cn/eth/tx/0x557306497d98878e4f460e8350531a851443150728a06afd8a719a5bfe4560b6

https://www.oklink.com/cn/eth/tx/0xdec634997b4219d3498dc40c41fe41e53d62fa2f323e308b6d1bde1efd244f5f

https://www.oklink.com/cn/eth/tx/0x7462907580bfb3244a167bd02aefa87bcec0f5ae4c2514006f6d61c59d64a757

https://www.oklink.com/cn/eth/tx/0x61a46b1828477c9860742f2a4ff47369f59d79a768277dc8852d330d66e88a6d

攻撃者のアドレス:

攻撃者のアドレス:

https://www.oklink.com/cn/eth/address/0x3130662aece32f05753d00a7b95c0444150bcd3c

No.2

9月5日、NFT-Fi流動性レイヤーFloorDAOがハッカー攻撃を受け、約65,000米ドル相当の約40WETHを失いました。この攻撃は、「distribute」および「rebase」機能の設計上​​の欠陥によって引き起こされました。

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x1274b32d4dfacd2703ad032e8bd669a83f012dde9d27ed92e4e7da0387adafe4

No.3

9月10日、BFCTokenはフラッシュローン攻撃を受け、約38,000米ドルの損失をもたらしました。このインシデントの理由は、攻撃者が「_transfer」関数を使用してプールから BFCToken を破壊できるためです。

攻撃された契約: https://www.oklink.com/cn/bsc/address/0x595eac4a0ce9b7175a99094680fbe55a774b5464

No.4

9 月 11 日、OxODexPool プロジェクト契約がフラッシュ ローン攻撃を受け、攻撃者は約 61,000 米ドルの利益を得ました。攻撃者は悪意のあるコントラクトを作成し、1 回のトランザクションでフラッシュ ローン攻撃を実行し、39.45 ETH を取得しました。

攻撃トランザクション: https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec

攻撃された契約: https://www.oklink.com/cn/eth/address/0x6128d5f7c64dab48a1c66f9d62eaefa1d5aa03ed

攻撃コントラクト: https://www.oklink.com/cn/eth/address/0xC44ea7650B27f83A6B310A8Fed9E9Daf2864a65B

No.5

9月12日、バナナガンプロジェクトはハッカーによる攻撃を受けたとの声明を発表したが、損失額は公表されていない。この攻撃の原因は、Banana トークンを転送する際に、内部転送 () 手数料が送信者から差し引かれず、アカウント残高の計算にエラーが発生したことでした。

関連リンク:

https://twitter.com/BananaGunBot/status/1701322684313817459 https://twitter.com/MetaTrustAlert/status/1701436883392422208 https://twitter.com/Phalcon_xyz/status/1701518882631295269

No.6

9 月 12 日、0x0Audits プロジェクトがハッキングされた疑いがあり、その結果、約 61,000 米ドル相当の 39.9 ETH が損失しました。

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec

No.7

9月13日、仮想通貨取引所CoinExがハッカー攻撃を受け、公式発表によると、事件の原因は秘密鍵の漏洩だった。ハッカーは7,000万ドル以上相当のトークンを盗みました。同時に、この金額は同社の管理下にある総資産のほんの一部に過ぎず、影響を受けたユーザーはすべての資本損失の全額補償を受けると述べた。

No.8

9月14日、ETHチェーン上のRemitanoプロジェクトがハッキングされた疑いがあり、約270万米ドルの損失が発生した。

攻撃契約:

https://www.oklink.com/cn/eth/address/0x74530e81E9f4715c720b6b237f682CD0e298B66C

No.9

9 月 20 日、ETH の XSDWETHpool プロジェクトがフラッシュ ローン攻撃により約 4.34 WETH で盗まれました。この脆弱性の原因は、ルーター契約によって提供される swapXSDForETH() 関数の実装が Checks-Effects-Interactions パターンに従っていないため、ユーザーに ETH を送信するときにリエントランシー攻撃が発生することです。

攻撃者のアドレス:

https://www.oklink.com/cn/eth/address/0x42abe1f4ded3498ea539d429fbce74bdb52d961a

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x10e3388dc801fbeb9be80687803034047f787cfe78ada237db65a027afb1ca9e

No.10

9月21日、ETH上のSunflowerプロジェクトが攻撃され、攻撃者は約500ドルの利益を得た。この脆弱性の原因は、SunflowerV2 のコード実装ロジックに欠陥があり、ユーザーは SunflowerV1 に資産を一度預けることができますが、SunflowerV2 と SunflowerV1 ではそれぞれ引き出すことができます。

資産が2倍になります。

攻撃者のアドレス:

https://www.oklink.com/cn/eth/address/0x0000f7848F682C69404721A3f7B5070c46D80000

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x6e133d36636819be29cc3cc8d349de3ecae09a802c0b8d15a2cd67cd3c42b1ad

No.11

9 月 24 日、BSC の約 78,400 ドルの KUB/KUB-Split トークンがフラッシュ ローン攻撃で盗まれました。攻撃者は、侵害されたコントラクトを操作し、偽の USDC トークンを使用してマイニング プールを操作する悪意のあるコントラクトを作成しました。

関連アドレス:

KUB-SPLIT トークン契約: https://www.oklink.com/cn/bsc/address/0xc98E183D2e975F0567115CB13AF893F0E3c0d0bD

KUB トークン契約: https://www.oklink.com/cn/bsc/address/0x808602d91e58f2d58D7C09306044b88234ab4628

攻撃者の契約アドレス: https://www.oklink.com/cn/bsc/address/0xa7Fe9c5D4b87b0d03E9bB99F4B4E76785de26b5D

攻撃者のアドレス: https://www.oklink.com/cn/bsc/address/0x7Ccf451D3c48C8bb747f42F29A0CdE4209FF863e

偽のUSDCトークン: https://www.oklink.com/cn/bsc/address/0xa88D48a4c6D8dD6a166A71CC159A2c588Fa882BB

No.12

9 月 24 日、BSC チェーンの siriSwap プロジェクトがフラッシュ ローン攻撃を受け、攻撃者は約 22,000 ドルの利益を得ました。

攻撃トランザクション:

https://www.oklink.com/cn/bsc/tx/0x2b0877b5495065e90d956e44ffde6aaee5e0fcf99dd3c86f5ff53e33774ea52d

No.13

9 月 27 日、フラッシュ ローン攻撃により、BSC の XSDWETHpool プロジェクトから約 56.96 WBNB が盗まれました。攻撃者は、攻撃されたコントラクトを操作する悪意のあるコントラクトを作成し、12.1,000 ドルの利益を得ました。この脆弱性の原因は、ルーター契約によって提供される swapXSDForETH() 関数の実装が Checks-Effects-Interactions パターンに従っていないため、BNB をユーザーに送信するときにリエントラント攻撃が発生することです。

攻撃された契約書: https://www.oklink.com/cn/bsc/address/0xbfBcB8BDE20cc6886877DD551b337833F3e0d96d

悪意のある契約: https://www.oklink.com/cn/bsc/address/0x202E059a16D29a2F6aE0307AE3D574746b2B6305

攻撃トランザクション: https://www.oklink.com/cn/bsc/tx/0xbdf76f22c41fe212f07e24ca7266d436ef4517dc1395077fabf8125ebe304442

1.2 RugPull インベントリ

No.1

9 月 2 日、ETH チェーン上の CoredeFinance プロジェクトで RugPull が発生し、EOA アドレス (0x18500) で約 27 ETH (43.9,000 ドル相当) の利益が得られました。

No.2

9 月 5 日、ETH チェーン上の偽の Lybra Finance トークンの展開アドレスは、60 WETH を LP として追加し、83 WETH を引き出すことで、23 WETH (37,000 ドル相当) の利益を上げました。

No.3

9 月 5 日、契約展開者によって ETH チェーンに展開された偽の Base トークンから大量の流動性が削除され、その結果 544,000 ドルの利益が得られました。 BSC チェーンに展開された偽の Base トークンは、契約展開者によって大量の流動性を削除され、71.6,000 ドルの利益をもたらしました

No.4

9 月 5 日、契約展開者によって ETH チェーンに展開された Haribo トークンから大量の流動性が削除され、24 ETH (35.4,000 ドル相当) の利益が得られました。

No.5

9 月 7 日、契約展開者によって BSC チェーン上の偽の Patex トークンから大量の流動性が削除され、97,500 ドルの利益が得られました。

No.6

9 月 8 日、契約展開者によって BSC チェーン上の偽の Helio プロトコル トークンから大量の流動性が削除され、その結果 127,000 ドルの利益が得られました。

No.7

9 月 15 日、ETH チェーンに展開された FriendChipsTech トークンが契約展開者によって鋳造され、大量に販売され、77.5,000 ドルの利益が得られました。

No.8

9 月 16 日、BSC チェーン上の MED トークン プロジェクトが契約開発者によって鋳造され、大量のトークンが販売され、約 53,000 ドルの利益が得られました。

No.9

9 月 17 日、BSC チェーン上の偽の BitGo トークンで RugPull が発生し、約 194,300 ドルの損失が発生しました。

No.10

9 月 20 日、BSC チェーンの Baka Casino (BAKAC) プロジェクトで RugPull が発生し、約 57,000 ドルの損失が発生しました。

No.11

9月21日、ETHチェーン上のPEPEPプロジェクトでRugPullが発生し、約45,000ドルの損失が発生しました。

No.12

No.11

9月21日、ETHチェーン上のPEPEPプロジェクトでRugPullが発生し、約45,000ドルの損失が発生しました。

No.12

9月21日、ETHチェーン上のYZERプロジェクトで流動性の除去によるラグプルが発生し、約2万8600ドルの損失が発生した。

No.13

9 月 21 日、BSC チェーンの BNBpay プロジェクトで流動性の除去による RugPull が発生し、約 114,000 ドルの損失が発生しました。

No.14

9 月 22 日、BSC チェーンの BEAST プロジェクトで流動性の除去による RugPull が発生し、約 55,300 ドルの損失が発生しました。

No.15

9月23日、ETHチェーン上のCATプロジェクトは流動性を除去することでRugPullを行い、18.7WETH(29.7ドル相当)の利益を上げました。

No.16

9 月 23 日、BSC チェーンの DUO プロジェクトで流動性の除去による RugPull が発生し、約 352.9 ドルの損失が発生しました。

No.17

9 月 25 日、BSC チェーン上の偽の Justus プロジェクトで RugPull が発生し、約 59,000 ドルの損失が発生しました。

1.3 ソーシャルメディア詐欺とフィッシングのインベントリ

No.1

9 月 1 日、@lamasfinance の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.2

9月2日、@BalthazarDaoの公式Discordが攻撃され、攻撃者が公式チャンネルを制御した。

No.3

9 月 3 日、公式 Twitter @ParasHQ が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.4

9 月 4 日、@The_Saber_DAO 公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.5

9月6日、@BigB_NFTsの公式Discordが攻撃されました。

No.6

9 月 7 日、@VictoryPoint_io の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.7

9 月 9 日、@ACGWORLDS_META の公式 Discord が攻撃され、攻撃者がフィッシング リンクを投稿しました。

No.8

9 月 10 日、@VitalikButerin の公式 Twitter アカウントが攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.9

9 月 11 日、@witnet_io 公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.10

9 月 17 日、@OneMintNFT の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.11

9 月 23 日、@timesoulcom の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.12

No.11

9 月 23 日、@timesoulcom の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.12

9 月 23 日、@D3STAB1LIZED の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.13

9 月 23 日、@bedu_io 公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.14

9 月 26 日、@Entanglefi の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

1.4 その他

No.1

9月16日、億万長者の起業家でダラス・マーベリックスのオーナーであるマーク・キューバン氏は、金曜日遅くにハッキングを受け、約87万ドルを失ったことを認めた。 (ETHを含む合計10トークン資産)

No.2

9 月 20 日、DeFi 流動性プロトコル Balancer が BGP または DNS ハイジャック攻撃を受け、攻撃者は約 238,000 米ドルの利益を得ました。これは、.fi トップレベル ドメインに使用されるドメイン名レジストラである EuroDNS に対するソーシャル エンジニアリング攻撃です。Balancer は、より安全なレジストラに移行するために .fi TLD の非推奨を検討しており、TLD を使用する他のプロジェクトには次のことを推奨しています。同じ。

No.3

9 月 23 日、Mixin Network は大規模なセキュリティ侵害を受けました。侵害による被害額は約2億ドルと言われている。この脆弱性は MixinKernel のクラウド サービス プロバイダー データベースに発生し、メインネットの資金が損失しました。

No.4

9月24日、アップビットシステムの技術的障害により、韓国最大の仮想通貨取引所アップビットが攻撃を受け、損失額は不明だった。この問題は入金時のトークン認識プロセスに欠陥があり、プラットフォーム上のアプトストークン($APT)の入出金に影響を与えた。

No.5

9月25日、HTXコンサルタントでTron創設者のジャスティン・サン氏は、HTX(旧Huobi)がハッキングされ、総額約800万米ドル相当の5,000ETHが損失されたと発表した。

事件は日曜日に発生し、すぐに確認された。ジャスティン・サンがソーシャルメディアプラットフォームに追加されました

2. 安全性の概要

2023 年 9 月には、REKT と RugPull によるセキュリティ インシデントの数は大幅に減少しましたが、それらによる経済的損失は大幅に増加しました。主な被害額は、世界最大の仮想通貨カジノStakeプロジェクトと仮想通貨取引所CoinExへの攻撃によって引き起こされた。ただし、再入攻撃、価格操作、秘密キーの漏洩など、他の種類のセキュリティ問題は依然として頻繁に発生しています。

上記のセキュリティ問題と課題に直面して、セキュリティ対策をさらに強化し、攻撃に対抗するシステムの能力を向上させる必要があります。まず第一に、潜在的なセキュリティ脆弱性を適時に発見して修復できるよう、すべての暗号通貨プラットフォームとプロジェクト関係者がプロジェクトのセキュリティ検査とリスク評価を強化することを強くお勧めします。第二に、一般ユーザーもセキュリティ意識を高め、秘密鍵やパスワードの不用意な開示による不必要な経済的損失を避けるために個人情報の保護を強化する必要があります。

最後に、ソーシャル メディア上では詐欺やフィッシング攻撃が依然として活発であるため、プロジェクト開発者とユーザーの両方がコミュニティのセキュリティ保護に対する意識を高める必要があります。

コメント

全てのコメント

Recommended for you

  • a16z 2025 年の仮想通貨ビッグアイデアと関連プロジェクトの目録

    年末は、Web3 業界の大手企業が再び 2025 年に向けた信頼性の高い考えや予測を共有するため、私の好きな時期の 1 つです。今はエキサイティングな時期であり、今後 1 年の仮想通貨マインドシェアの見通しを形作るかもしれない時期です。

  • ユーロポール、麻薬密売人9人から2600万ドル以上の仮想通貨を押収

    12月19日のニュースによると、ユーロポールは6カ国の法執行機関と協力し、仮想通貨を使用した国際麻薬密売組織を解体した。この作戦で9人の容疑者が逮捕された。作戦中、金や高級品、現金3万5000ユーロ、仮想通貨2500万ユーロ(2623万ドル相当)などの貴重品が押収された。押収された資産の総額は2,700万ユーロ、2,833万米ドルに相当しました。

  • Binance Alpha がプロジェクトの最初のバッチを発表: KOMA、Cheems、APX、ai16z、AIXBT

    公式ニュースによると、Binance Alphaはプロジェクトの最初のバッチ、つまりKOMA、Cheems、APX、ai16z、AIXBTを発表しました。

  • Binance Alpha がプロジェクトの最初のバッチを発表: KOMA、Cheems、APX、ai16z、AIXBT

    公式ニュースによると、Binance Alphaはプロジェクトの最初のバッチ、つまりKOMA、Cheems、APX、ai16z、AIXBTを発表しました。

  • Kinto:公式を装ったフィッシングメールにご注意ください

    Kintoは、最近ユーザーがKintoを装ったフィッシングメールを受信して​​いることをXプラットフォーム上で通知した。 Kinto は、これらのメールが Kinto から送信されたものではなく、メールに含まれるリンクをクリックすべきではないことを確認します。さらに、Kinto は、ユーザーのメールボックスは漏洩しておらず、電子メールを受信したメールボックスの一部は Kinto アカウントに関連付けられていなかったと述べました。

  • 香港金融サービス長官兼財務省のホイ・チンユー氏がステーブルコイン法案の第2読会を進めた

    香港政府のプレスリリースによると、香港金融サービス兼財務長官のホイ・チンユー氏は本日の立法会会議で「安定通貨法案」の第二読会を行い、早期可決を望んでいるという。できるだけ。規制制度の要点は以下の 3 点である。 (1) ライセンシーは、ステーブルコインの準備資産が高品質かつ流動性の高い資産で構成され、総額が少なくとも常に流通している法定通貨と等しい ステーブルコインの額面は、適切に分離され、保管; (2) 安定通貨保有者は発行者から額面で償還する権利を有するべきであり、償還要求は不当な手数料なしで合理的な期間内に処理されなければなりません。 (3) マネーロンダリングの必要性と戦うための一連の措置。規定されるべき、リスク管理、開示規制および監査、および適切な候補者の要件。

  • Unichain と The Graph: DeFi 開発者の新時代の到来

    Unichain は、Uniswap によって OP Stack 上に構築された新しい 2 層ブロックチェーンで、ほぼ瞬時のトランザクション速度とより低い手数料で DeFi に革命を起こすことを目的としています。 DeFi 用に特別に設計されたアプリケーション チェーンとして、Uniswap のエコシステムと深く統合されており、ERC-7683 標準を通じてシームレスなクロスチェーン インタラクションを提供します。 The Graph の統合により、開発者は重要なブロックチェーン データに即座にアクセスできるようになり、高性能 DeFi アプリケーションの構築が容易になります。

  • AI エージェント × 暗号通貨: それは暗号通貨の世界にとって革命的な瞬間ですか?

    暗号化された注意経済の下では、現在の AI エージェントは資本の注意、広範な物語の継続的な人気、資産効果の典型的なケース、および長期構築のための実用的な価値を持っています。

  • AI エージェントのスタートアップ /dev/agents は、Index Ventures と CapitalG が主導し、評価額 5 億ドルで 5,600 万ドルのシードラウンドを完了

    12月18日のニュースによると、Stripeの元CTOであるDavid Singleton氏が設立したAIエージェントオペレーティングシステムプラットフォーム/dev/agentsが、評価額5億米ドルで5,600万米ドルのシードラウンドを完了した。このラウンドは Index Ventures と CapitalG が主導し、Conviction Capital も参加しました。このラウンドには、OpenAI 共同創設者の Andrej Karpathy 氏、Scale AI CEO の Alexandr Wang 氏、Palo Alto Networks CEO の Nikesh Arora 氏、Android 創設者の Andy Rubin 氏など、数多くの著名なテクノロジー リーダーも参加しました。 レポートによると、/dev/agents のビジョンは、AI 時代の Android オペレーティング システムを構築し、特別に最適化されたインターフェイスとプロトコルを提供し、新しい UI パターンとユーザー データ モデルを確立することです。