第3四半期の概要
SlowMist セキュリティ チームの統計によると、2024 年第 3 四半期も引き続き Web3 セキュリティ インシデントが頻繁に発生し、セキュリティ状況は依然として厳しいと予想されています。
- この四半期には合計 93 件のハッキング事件が発生し、フィッシング事件の被害者は 33,000 人を超えました。
- 同四半期のセキュリティインシデントによる損失総額は約 7 億 8,400 万ドルで、そのうち 2,754 万ドルが回収されました。
- 7月の損失は約3億ドルに達したが、8月には3億1,600万ドルに増加し、損失の多くは2億4,300万ドルの詐欺によるものだった。
- 9 月の損失は前の 2 か月に比べて減少しましたが、セキュリティ上のプレッシャーは依然として高く、数千万ドルの損失を伴うハッキング事件の数は 8 月と同じでした。フィッシング事件の規模と損失は依然として高水準を維持しました。
2024 年 9 月の時点で、Web3 セキュリティ インシデントによる損失総額は約 1 億 7,000 万ドルでした。このうち、Slowmist Blockchain Hacked Archive (https://hacked.slowmist.io) の統計によると、合計 28 件のハッキング事件が発生し、約 1 億 2,400 万米ドルの損失が発生し、そのうち 490 万米ドルが返還されました。インシデントの理由には、契約の脆弱性、アカウントのハッキング、秘密キーの漏洩などが含まれていました。さらに、Web3 詐欺対策プラットフォーム Scam Sniffer の統計によると、今月のフィッシング事件の被害者は 10,525 人で、損失額は 4,643 万米ドルに達しました。
https://dune.com/scam-sniffer/september-scam-sniffer-2024-phishing-report
BingX
BingX
2024 年 9 月 20 日、シンガポールの仮想通貨取引所 BingX はホット ウォレットが攻撃されたことを発見し、SlowMist セキュリティ チームは直ちに BingX の事件調査を支援しました。統計によると、被害額は約 4,500 万米ドルに達しました。 SlowMist セキュリティ チームの協力により、盗まれた資金約 100 万ドルが凍結されました。さらに、今回の事件を受けて、資金の移動を監視するためのグループを設立しました。
https://x.com/SlowMist_Team/status/1837062650179768523
ペンピー
2024 年 9 月 4 日、分散型流動性収入プロジェクト Penpie が攻撃され、攻撃者は 3,000 万米ドル近くの利益を得ました。 SlowMist セキュリティ チームの分析によると、この事件の核心は、ペンピーが新しいペンドル マーケットを登録する際に、ペンドル ファイナンスによって作成されたすべてのマーケットが正当なものであると誤って思い込んだことです。ただし、Pendle Finance のマーケット作成プロセスはオープンであるため、誰でもマーケットを作成でき、SY 契約アドレスなどの主要なパラメーターはユーザーがカスタマイズできます。これを利用して、攻撃者は悪意のあるSYコントラクトを含むマーケットコントラクトを作成し、Penpieプールが報酬を得る際に外部SYコントラクトを呼び出す必要がある仕組みを利用し、フラッシュローンを利用して市場に大量の流動性を追加しました。詳細な分析では、 偏見と不信感が示されています。ハッキングされたペンピーの分析。
インドダックス
2024 年 9 月 11 日、インドネシアの仮想通貨取引所 Indodax が攻撃され、攻撃者はホット ウォレットからさまざまなトークン約 2,200 万米ドルを盗みました。分析の結果、SlowMist セキュリティ チームは、ホット ウォレットが侵害される可能性は低く、出金システムが攻撃されたことが原因である可能性が高いと考えています。
https://x.com/SlowMist_Team/status/1833707952353812782
デルタプライム
2024 年 9 月 16 日、DeltaPrime DeFi プロトコルは秘密鍵の漏洩により約 600 万米ドルの損失を被りました。秘密キーを取得することで、攻撃者は 1.1×10⁶⁹ の DUSDC トークンを鋳造しました。これは 1:1 の比率で USDC ステーブルコインと交換できます。その後、攻撃者は同様の方法を使用して、ビットコイン、イーサリアム、その他の暗号通貨の大量の預金証明書トークンを鋳造しました。最終的に、攻撃者はこれらの巨額の預金証書の一部、つまり資産総額約 600 万ドルを償還しました。
トルフレーション
オンチェーン探偵ZachXBTによると、2024年9月26日、トゥルフレーション社は攻撃を受け、「財務省のマルチ署名と個人ウォレット」から資金が盗まれ、約500万米ドルを失った。攻撃者はマルウェアを使用して攻撃を開始しました。 SlowMist セキュリティ チームは、その日のうちに 415 ETH を 0xb1cf7880351e6d16313c03a6686b4c8a5ba6372a に送金しており、現在このアドレスには 523 ETH が入金されており、まだ送金されていません。
https://x.com/SlowMist_Team/status/1839154230210543732
今月は、契約の脆弱性によるセキュリティ インシデントが 9 件発生し、損失額は 4,100 万ドルに達し、ハッキングによる損失総額 (1 億 2,400 万ドル) の 33.06% を占めました。 7 月(18 日以降)は大幅に減少し、関与したプラットフォームは主に X と Discord に集中しました。
SlowMist セキュリティ チームは、プロジェクト関係者が常に警戒を怠らず、定期的に包括的なセキュリティ監査を実施して、新しいセキュリティの脅威と脆弱性を追跡して解決し、プロジェクトと資産のセキュリティを保護することを推奨しています。攻撃が発生した場合に迅速かつ効果的に対応できるようにし、損失を軽減し、資金を回収する可能性を高めます。また、ユーザーはフィッシング攻撃に注意し、アカウントの権限を定期的に確認し、複数の関係者を通じてメッセージの信頼性を確認し、不明なリンクをクリックしないようにし、秘密キーやニーモニックを安易にインストールしないようにする必要があります。など)やフィッシング リスク ブロック プラグイン(Scam Sniffer など)により、デバイスのセキュリティが向上します。
最後に、この記事に含まれるイベントは、今月の主要なセキュリティ イベントです。その他のブロックチェーン セキュリティ イベントは、Slowmist Blockchain Hacked Archives (https://hacked.slowmist.io/) でご覧いただけます。
全てのコメント