作者: OKリンク

1. 基本情報

2023 年 9 月、REKT および RugPull 事件により累積損失は約 1 億 1,434 万米ドルとなり、前月の損失 4,182 万米ドルから大幅に増加し、報告された事件数は大幅に減少しました。先月の問題に続き、老舗の主要プロジェクトであるバランサーでも今月、フロントエンド ページでセキュリティの問題が発生し、BGP または DNS ハイジャック攻撃を受けました。しかし、プロジェクト チームは脆弱性に関するフィードバックを受け取った後、迅速に対応したため、損失は大幅に軽減されました。今月最大の損失を出したのは仮想通貨取引所CoinExで、損失額は最大7,000万米ドルに達した。今月の RugPull インシデントの数は、前月に比べて減少しました。今月の RugPull 事件では、主に ETH チェーンと BSC チェーンで発生し、ユーザーに 232 万米ドルの損失をもたらしました。最後に、ソーシャルメディアフィッシング事件は依然として相次いでおり、プロジェクトオーナーのDiscordやTwitterの権限が管理され、フィッシングリンクが公開される事件も時折発生しています。

1.1 REKTの在庫

No.1

9 月 4 日、ETH チェーンの世界最大の仮想通貨カジノである Stake.com がハッカー攻撃を受け、4,130 万米ドルの損失を引き起こしました。同プラットフォームはすべての入金と出金を停止し、多くのユーザーが資金を引き出すことができなくなった。公式発表では、ステークのETH/BSCホットウォレットが不正な取引を行っていたと発表されました。

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x53a2955e4d332c9fde95e20576851971132fe6b41df3474dcff5820b683d11b2

https://www.oklink.com/cn/eth/tx/0xfc62e5c5370bea0608ca1861dded21829298b5b84a37ba92f8de65db5d1da244

https://www.oklink.com/cn/eth/tx/0xdd0e92f674778aca4eb36db9c247b6316eacb2277e15ba3c41dd3a2f51f41ef9

https://www.oklink.com/cn/eth/tx/0x8f442f4411eb566d3bb64e7816cc73e8b8f4016dd793bab9981a483864ddacd1

https://www.oklink.com/cn/eth/tx/0x22d556dcd9e49552041b27b79b871b7c0c8de9ed9cac0260738666145ff82188

https://www.oklink.com/cn/eth/tx/0x557306497d98878e4f460e8350531a851443150728a06afd8a719a5bfe4560b6

https://www.oklink.com/cn/eth/tx/0xdec634997b4219d3498dc40c41fe41e53d62fa2f323e308b6d1bde1efd244f5f

https://www.oklink.com/cn/eth/tx/0x7462907580bfb3244a167bd02aefa87bcec0f5ae4c2514006f6d61c59d64a757

https://www.oklink.com/cn/eth/tx/0x61a46b1828477c9860742f2a4ff47369f59d79a768277dc8852d330d66e88a6d

攻撃者のアドレス:

攻撃者のアドレス:

https://www.oklink.com/cn/eth/address/0x3130662aece32f05753d00a7b95c0444150bcd3c

No.2

9月5日、NFT-Fi流動性レイヤーFloorDAOがハッカー攻撃を受け、約65,000米ドル相当の約40WETHを失いました。この攻撃は、「distribute」および「rebase」機能の設計上​​の欠陥によって引き起こされました。

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x1274b32d4dfacd2703ad032e8bd669a83f012dde9d27ed92e4e7da0387adafe4

No.3

9月10日、BFCTokenはフラッシュローン攻撃を受け、約38,000米ドルの損失をもたらしました。このインシデントの理由は、攻撃者が「_transfer」関数を使用してプールから BFCToken を破壊できるためです。

攻撃された契約: https://www.oklink.com/cn/bsc/address/0x595eac4a0ce9b7175a99094680fbe55a774b5464

No.4

9 月 11 日、OxODexPool プロジェクト契約がフラッシュ ローン攻撃を受け、攻撃者は約 61,000 米ドルの利益を得ました。攻撃者は悪意のあるコントラクトを作成し、1 回のトランザクションでフラッシュ ローン攻撃を実行し、39.45 ETH を取得しました。

攻撃トランザクション: https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec

攻撃された契約: https://www.oklink.com/cn/eth/address/0x6128d5f7c64dab48a1c66f9d62eaefa1d5aa03ed

攻撃コントラクト: https://www.oklink.com/cn/eth/address/0xC44ea7650B27f83A6B310A8Fed9E9Daf2864a65B

No.5

9月12日、バナナガンプロジェクトはハッカーによる攻撃を受けたとの声明を発表したが、損失額は公表されていない。この攻撃の原因は、Banana トークンを転送する際に、内部転送 () 手数料が送信者から差し引かれず、アカウント残高の計算にエラーが発生したことでした。

関連リンク：

https://twitter.com/BananaGunBot/status/1701322684313817459 https://twitter.com/MetaTrustAlert/status/1701436883392422208 https://twitter.com/Phalcon_xyz/status/1701518882631295269

No.6

9 月 12 日、0x0Audits プロジェクトがハッキングされた疑いがあり、その結果、約 61,000 米ドル相当の 39.9 ETH が損失しました。

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x00b375f8e90fc54c1345b33c686977ebec26877e2c8cac165429927a6c9bdbec

No.7

9月13日、仮想通貨取引所CoinExがハッカー攻撃を受け、公式発表によると、事件の原因は秘密鍵の漏洩だった。ハッカーは7,000万ドル以上相当のトークンを盗みました。同時に、この金額は同社の管理下にある総資産のほんの一部に過ぎず、影響を受けたユーザーはすべての資本損失の全額補償を受けると述べた。

No.8

9月14日、ETHチェーン上のRemitanoプロジェクトがハッキングされた疑いがあり、約270万米ドルの損失が発生した。

攻撃契約:

https://www.oklink.com/cn/eth/address/0x74530e81E9f4715c720b6b237f682CD0e298B66C

No.9

9 月 20 日、ETH の XSDWETHpool プロジェクトがフラッシュ ローン攻撃により約 4.34 WETH で盗まれました。この脆弱性の原因は、ルーター契約によって提供される swapXSDForETH() 関数の実装が Checks-Effects-Interactions パターンに従っていないため、ユーザーに ETH を送信するときにリエントランシー攻撃が発生することです。

攻撃者のアドレス:

https://www.oklink.com/cn/eth/address/0x42abe1f4ded3498ea539d429fbce74bdb52d961a

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x10e3388dc801fbeb9be80687803034047f787cfe78ada237db65a027afb1ca9e

No.10

9月21日、ETH上のSunflowerプロジェクトが攻撃され、攻撃者は約500ドルの利益を得た。この脆弱性の原因は、SunflowerV2 のコード実装ロジックに欠陥があり、ユーザーは SunflowerV1 に資産を一度預けることができますが、SunflowerV2 と SunflowerV1 ではそれぞれ引き出すことができます。

資産が2倍になります。

攻撃者のアドレス:

https://www.oklink.com/cn/eth/address/0x0000f7848F682C69404721A3f7B5070c46D80000

攻撃トランザクション:

https://www.oklink.com/cn/eth/tx/0x6e133d36636819be29cc3cc8d349de3ecae09a802c0b8d15a2cd67cd3c42b1ad

No.11

9 月 24 日、BSC の約 78,400 ドルの KUB/KUB-Split トークンがフラッシュ ローン攻撃で盗まれました。攻撃者は、侵害されたコントラクトを操作し、偽の USDC トークンを使用してマイニング プールを操作する悪意のあるコントラクトを作成しました。

関連アドレス:

KUB-SPLIT トークン契約: https://www.oklink.com/cn/bsc/address/0xc98E183D2e975F0567115CB13AF893F0E3c0d0bD

KUB トークン契約: https://www.oklink.com/cn/bsc/address/0x808602d91e58f2d58D7C09306044b88234ab4628

攻撃者の契約アドレス: https://www.oklink.com/cn/bsc/address/0xa7Fe9c5D4b87b0d03E9bB99F4B4E76785de26b5D

攻撃者のアドレス: https://www.oklink.com/cn/bsc/address/0x7Ccf451D3c48C8bb747f42F29A0CdE4209FF863e

偽のUSDCトークン: https://www.oklink.com/cn/bsc/address/0xa88D48a4c6D8dD6a166A71CC159A2c588Fa882BB

No.12

9 月 24 日、BSC チェーンの siriSwap プロジェクトがフラッシュ ローン攻撃を受け、攻撃者は約 22,000 ドルの利益を得ました。

攻撃トランザクション:

https://www.oklink.com/cn/bsc/tx/0x2b0877b5495065e90d956e44ffde6aaee5e0fcf99dd3c86f5ff53e33774ea52d

No.13

9 月 27 日、フラッシュ ローン攻撃により、BSC の XSDWETHpool プロジェクトから約 56.96 WBNB が盗まれました。攻撃者は、攻撃されたコントラクトを操作する悪意のあるコントラクトを作成し、12.1,000 ドルの利益を得ました。この脆弱性の原因は、ルーター契約によって提供される swapXSDForETH() 関数の実装が Checks-Effects-Interactions パターンに従っていないため、BNB をユーザーに送信するときにリエントラント攻撃が発生することです。

攻撃された契約書: https://www.oklink.com/cn/bsc/address/0xbfBcB8BDE20cc6886877DD551b337833F3e0d96d

悪意のある契約: https://www.oklink.com/cn/bsc/address/0x202E059a16D29a2F6aE0307AE3D574746b2B6305

攻撃トランザクション: https://www.oklink.com/cn/bsc/tx/0xbdf76f22c41fe212f07e24ca7266d436ef4517dc1395077fabf8125ebe304442

1.2 RugPull インベントリ

No.1

9 月 2 日、ETH チェーン上の CoredeFinance プロジェクトで RugPull が発生し、EOA アドレス (0x18500) で約 27 ETH (43.9,000 ドル相当) の利益が得られました。

No.2

9 月 5 日、ETH チェーン上の偽の Lybra Finance トークンの展開アドレスは、60 WETH を LP として追加し、83 WETH を引き出すことで、23 WETH (37,000 ドル相当) の利益を上げました。

No.3

9 月 5 日、契約展開者によって ETH チェーンに展開された偽の Base トークンから大量の流動性が削除され、その結果 544,000 ドルの利益が得られました。 BSC チェーンに展開された偽の Base トークンは、契約展開者によって大量の流動性を削除され、71.6,000 ドルの利益をもたらしました

No.4

9 月 5 日、契約展開者によって ETH チェーンに展開された Haribo トークンから大量の流動性が削除され、24 ETH (35.4,000 ドル相当) の利益が得られました。

No.5

9 月 7 日、契約展開者によって BSC チェーン上の偽の Patex トークンから大量の流動性が削除され、97,500 ドルの利益が得られました。

No.6

9 月 8 日、契約展開者によって BSC チェーン上の偽の Helio プロトコル トークンから大量の流動性が削除され、その結果 127,000 ドルの利益が得られました。

No.7

9 月 15 日、ETH チェーンに展開された FriendChipsTech トークンが契約展開者によって鋳造され、大量に販売され、77.5,000 ドルの利益が得られました。

No.8

9 月 16 日、BSC チェーン上の MED トークン プロジェクトが契約開発者によって鋳造され、大量のトークンが販売され、約 53,000 ドルの利益が得られました。

No.9

9 月 17 日、BSC チェーン上の偽の BitGo トークンで RugPull が発生し、約 194,300 ドルの損失が発生しました。

No.10

9 月 20 日、BSC チェーンの Baka Casino (BAKAC) プロジェクトで RugPull が発生し、約 57,000 ドルの損失が発生しました。

No.11

9月21日、ETHチェーン上のPEPEPプロジェクトでRugPullが発生し、約45,000ドルの損失が発生しました。

No.12

No.11

9月21日、ETHチェーン上のPEPEPプロジェクトでRugPullが発生し、約45,000ドルの損失が発生しました。

No.12

9月21日、ETHチェーン上のYZERプロジェクトで流動性の除去によるラグプルが発生し、約2万8600ドルの損失が発生した。

No.13

9 月 21 日、BSC チェーンの BNBpay プロジェクトで流動性の除去による RugPull が発生し、約 114,000 ドルの損失が発生しました。

No.14

9 月 22 日、BSC チェーンの BEAST プロジェクトで流動性の除去による RugPull が発生し、約 55,300 ドルの損失が発生しました。

No.15

9月23日、ETHチェーン上のCATプロジェクトは流動性を除去することでRugPullを行い、18.7WETH（29.7ドル相当）の利益を上げました。

No.16

9 月 23 日、BSC チェーンの DUO プロジェクトで流動性の除去による RugPull が発生し、約 352.9 ドルの損失が発生しました。

No.17

9 月 25 日、BSC チェーン上の偽の Justus プロジェクトで RugPull が発生し、約 59,000 ドルの損失が発生しました。

1.3 ソーシャルメディア詐欺とフィッシングのインベントリ

No.1

9 月 1 日、@lamasfinance の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.2

9月2日、@BalthazarDaoの公式Discordが攻撃され、攻撃者が公式チャンネルを制御した。

No.3

9 月 3 日、公式 Twitter @ParasHQ が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.4

9 月 4 日、@The_Saber_DAO 公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.5

9月6日、@BigB_NFTsの公式Discordが攻撃されました。

No.6

9 月 7 日、@VictoryPoint_io の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.7

9 月 9 日、@ACGWORLDS_META の公式 Discord が攻撃され、攻撃者がフィッシング リンクを投稿しました。

No.8

9 月 10 日、@VitalikButerin の公式 Twitter アカウントが攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.9

9 月 11 日、@witnet_io 公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.10

9 月 17 日、@OneMintNFT の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.11

9 月 23 日、@timesoulcom の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.12

No.11

9 月 23 日、@timesoulcom の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.12

9 月 23 日、@D3STAB1LIZED の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.13

9 月 23 日、@bedu_io 公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

No.14

9 月 26 日、@Entanglefi の公式 Discord が攻撃され、攻撃者はフィッシング リンクを投稿しました。

1.4 その他

No.1

9月16日、億万長者の起業家でダラス・マーベリックスのオーナーであるマーク・キューバン氏は、金曜日遅くにハッキングを受け、約87万ドルを失ったことを認めた。 (ETHを含む合計10トークン資産)

No.2

9 月 20 日、DeFi 流動性プロトコル Balancer が BGP または DNS ハイジャック攻撃を受け、攻撃者は約 238,000 米ドルの利益を得ました。これは、.fi トップレベル ドメインに使用されるドメイン名レジストラである EuroDNS に対するソーシャル エンジニアリング攻撃です。Balancer は、より安全なレジストラに移行するために .fi TLD の非推奨を検討しており、TLD を使用する他のプロジェクトには次のことを推奨しています。同じ。

No.3

9 月 23 日、Mixin Network は大規模なセキュリティ侵害を受けました。侵害による被害額は約2億ドルと言われている。この脆弱性は MixinKernel のクラウド サービス プロバイダー データベースに発生し、メインネットの資金が損失しました。

No.4

9月24日、アップビットシステムの技術的障害により、韓国最大の仮想通貨取引所アップビットが攻撃を受け、損失額は不明だった。この問題は入金時のトークン認識プロセスに欠陥があり、プラットフォーム上のアプトストークン（$APT）の入出金に影響を与えた。

No.5

9月25日、HTXコンサルタントでTron創設者のジャスティン・サン氏は、HTX（旧Huobi）がハッキングされ、総額約800万米ドル相当の5,000ETHが損失されたと発表した。

事件は日曜日に発生し、すぐに確認された。ジャスティン・サンがソーシャルメディアプラットフォームに追加されました

2. 安全性の概要

2023 年 9 月には、REKT と RugPull によるセキュリティ インシデントの数は大幅に減少しましたが、それらによる経済的損失は大幅に増加しました。主な被害額は、世界最大の仮想通貨カジノStakeプロジェクトと仮想通貨取引所CoinExへの攻撃によって引き起こされた。ただし、再入攻撃、価格操作、秘密キーの漏洩など、他の種類のセキュリティ問題は依然として頻繁に発生しています。

上記のセキュリティ問題と課題に直面して、セキュリティ対策をさらに強化し、攻撃に対抗するシステムの能力を向上させる必要があります。まず第一に、潜在的なセキュリティ脆弱性を適時に発見して修復できるよう、すべての暗号通貨プラットフォームとプロジェクト関係者がプロジェクトのセキュリティ検査とリスク評価を強化することを強くお勧めします。第二に、一般ユーザーもセキュリティ意識を高め、秘密鍵やパスワードの不用意な開示による不必要な経済的損失を避けるために個人情報の保護を強化する必要があります。

最後に、ソーシャル メディア上では詐欺やフィッシング攻撃が依然として活発であるため、プロジェクト開発者とユーザーの両方がコミュニティのセキュリティ保護に対する意識を高める必要があります。