I. 概要

2024 年第 1 四半期には、ハッカー攻撃、ラグプル詐欺、フィッシング攻撃などの悪意のある行為により、総額 4 億 6,200 万米ドルの損失が発生し、2023 年第 1 四半期（約 383 米ドル）と比べて前年比約 20.63% 増加しました。百万）。このレポートは、2024 年第 1 四半期における世界の Web3 業界のセキュリティ状況、主要なイベント、セキュリティ傾向を整理および分析し、読者に有益な情報と新しいアイデアを提供し、Web3 の安全かつ健全な発展に貢献することを目的としています。

2. セキュリティインシデントの分析

SharkTeam のオンチェーン セキュリティ分析プラットフォーム ChainAegis のデータによると、2024 年の第 1 四半期に Web3 分野で合計 280 件のセキュリティ インシデントが発生し (図 1)、累積損失は 4 億 6,200 万ドルを超えました (図 2)。前年同期と比較して、セキュリティインシデントの発生頻度は約32.70％増加し、損失額は約20.63％増加しました。

図 1: 2024 年第 1 四半期のセキュリティ インシデントの総数

図 2: 2024 年第 1 四半期のセキュリティ インシデントの損失総額

2024 年第 1 四半期に発生したハッカー攻撃は合計 60 件で、2023 年第 1 四半期と比較して 140% 増加し、損失額は 83% を占める 3 億 8,500 万米ドルに達しました (図 3)。 ）、前年同期比は6.35％増加しました。

ラグプル事件は合計127件発生し、2023年第1四半期（30件）と比較して323.33％増加したが、損失額は59.44％減少し、総額821万ドルとなり、第1四半期損失額全体の2％を占めた。第1四半期に発生したフィッシング攻撃は合計93件と前年同期比増加し、損失額は約6,866万米ドルに達し、約15％を占めた。

図3：2024年第1四半期の攻撃種別被害額

図 4: 2024 年第 1 四半期の攻撃タイプ別のカウント数

第 1 四半期を月ごとに見ると (図 5)、1 月の損失は最も深刻で、2 億 5,000 万米ドルを超え、2 月 (7,142 万米ドル) や 3 月 (1 億 4,000 万米ドル) を大きく上回りました。このうち、1月に発生したセキュリティインシデントは88件で、2月の72件よりは若干増加し、3月の120件よりは若干減少しており、1件のセキュリティインシデントの被害額は1月が最も多かったことが分かります。 1月に最も深刻な被害をもたらした攻撃手法はハッカー攻撃で、合計20件のハッカー攻撃が発生し、2億1,700万米ドルの損失が発生した。同時に、フィッシング攻撃も 1 月に発生率が高く、合計 39 件のフィッシング攻撃が発生しましたが、損失額は比較的少なく、総額 2,915 万米ドルでした。 2月のセキュリティインシデントの全体的な発生頻度と損失額は、1月と3月に比べて低い水準でした。

図 5: 2024 年第 1 四半期の Web3 セキュリティ インシデントの概要

2.1 ハッカー攻撃

第 1 四半期には合計 60 件のハッカー攻撃が発生し、総額 3 億 8,500 万ドルの損失が発生しました。このうち、最も深刻な損失は1月の2億1700万米ドルだった。 1月に2件の大型キャピタルロスが発生したことが主な理由だ。

(1) 2024 年 1 月 1 日、クロスチェーン ブリッジ プロジェクト Orbit Chain がサイバー攻撃を受け、約 8,150 万米ドル相当の暗号通貨が盗難されました。このインシデントには 5 つの個別のトランザクションが含まれており、それぞれが異なるウォレット アドレスに向けられていました。不正な資金の流れには、ステーブルコイン5000万ドル（USDT3000万ドル、DAI1000万ドル、USDC1000万ドルを含む）、約1000万ドル相当の231wBTC、約2150万ドル相当の9500イーサリアムが含まれていた。

(2) 2024年1月31日、リップル共同創設者クリス・ラーセン氏のウォレット4つが攻撃され、総額2億3,700万XRP（約1億1,250万米ドル相当）が盗まれた。 ChainAegis のオンチェーン分析により、盗まれた資金が MEXC、Gate、Binance、Kraken、OKX、HTX、HitBTC などを通じて送金されたことが示されています。これは2024年に入ってから最大規模の仮想通貨盗難であり、仮想通貨業界ではこれまでで20番目に大きな仮想通貨盗難であり、事件発生後24時間でXRPの価格は約4.4%下落した。

2.2 引き抜きと詐欺

2.2 引き抜きと詐欺

以下の図 (図 6) に示すように、1 月に 29 件のラグプル & 詐欺事件が発生し、その後月ごとに増加し、3 月には約 63 件の事件が発生し、1 月の損失は約 451 万米ドル、2 月の損失は約 451 万米ドルでした。 149万ドル。 ChainAegisの分析によると、インシデントは主に主流チェーンであるイーサリアムとBNBチェーンで発生しており、BNBチェーンプロジェクトにおけるラグプルインシデントの発生頻度はイーサリアムよりもはるかに高い。

さらに、2 月 25 日には、Blast エコシステムの GameFi プロジェクトである RiskOnBlast でラグプルが発生しました。 ChainAegis の分析によると、RiskOnBlast のアドレス 0x1EeB963133f657Ed3228d04b8CD9a13280EFC558 は、22 日から 24 日の間に合計 420 ETH、約 125 万米ドル相当を調達し、その後 DAI に変換され、ChangeNOW、MEXC、Bybit などの交換預金アドレスに送金されて現金と交換されました。外。 。

図 6：2024 年第 1 四半期の月別の Rugpull & Scam の概要

2.3 フィッシング攻撃

以下の図 (図 7) に示すように、フィッシング攻撃は 1 月に最も多く発生し、合計 39 件で約 2,915 万米ドルの損失が発生しましたが、2 月はフィッシング攻撃の頻度が最も低く、21 件であり、被害が発生しました。約1,134万米ドルの損失。 SharkTeam は、強気市場では市場が活発でエアドロップの機会がたくさんあることを皆さんに思い出させますが、Angel Drainer や Pink Drainer などの活発なフィッシング グループによる攻撃を避けるために、誰もがより警戒する必要があります。取引情報を必ず注意深く確認してください。転送時と認証時。

図 7：2024 年第 1 四半期の月別フィッシングの概要

3. 典型的なケースの分析

3.1 契約精度計算の脆弱性

2024 年 1 月 30 日、MIM_SPELL はフラッシュ ローン攻撃を受け、高精度計算の脆弱性により 650 万米ドルを失いました。攻撃の理由は、ローン変数を計算する際のプロジェクトのスマートコントラクトの精度に抜け穴があり、主要な変数の弾性値と基本値が操作されてバランスが崩れ、担保とローンの計算時に問題が発生したためでした。金額、そして最終的には MIM トークンの過剰貸付。攻撃されたコントラクト (0x7259e1520) の借用関数と返済関数はどちらも、弾性変数と基本変数を計​​算するときに上方丸め方法を使用します。

攻撃者 (0x87F58580) は、最初に他のユーザーのローンを返済することで、エラスティック変数とベース変数をそれぞれ 0 と 97 に設定しました。

その後、borrow 関数と repay 関数が連続して呼び出され、パラメータの amount は両方とも 1 になります。borrow 関数が初めて呼び出されたときは、elastic=0 であるため、上記の if ロジックが実行され、add 関数に返されます。これにより、elastic = 1、base = 98 となります。

その後、borrow 関数と repay 関数が連続して呼び出され、パラメータの amount は両方とも 1 になります。borrow 関数が初めて呼び出されたときは、elastic=0 であるため、上記の if ロジックが実行され、add 関数に返されます。これにより、elastic = 1、base = 98 となります。

次に、攻撃者 (0x87F58580) は、borrow 関数を呼び出して 1 を渡します。 elastic=1 であるため、else ロジックが実行され、計算された戻り値は 98 になります。このようにして、add 関数に戻ると、elastic=2 となり、基本変数は 196 です。

しかし、このとき、攻撃者 (0x87F58580) は、repay 関数を呼び出し、1 を渡します。 elastic=2 なので、else ロジックが実行されます。計算された elastic 変数は、もともと 1*2/98 =0 でしたが、次の手順により計算されます。を切り上げた結果、計算された戻り値は 1 になります。そのため、サブ関数に戻ると、エラスティック変数は 1 に戻り、ベース変数は 195 になります。

借入-返済ループの後、エラスティック変数は変化せず、ベース変数はほぼ 2 倍になることがわかります。この脆弱性を利用して、ハッカーは借入-返済関数を頻繁にループし、最後にもう一度 repay を呼び出し、最終的に elastic=0 にします。ベース = 120080183810681886665215049728。

エラスティック変数とベース変数の比率が著しく不均衡な場合、攻撃者 (0x87F58580) は、攻撃を完了するために非常に少量の担保を追加した後、大量の MIM トークンを貸与する可能性があります。

3.2 DeGame フィッシング攻撃と Pink Drainer 詐欺集団

2024 年 3 月、Web3 ユーザーが、アカウントを盗まれた DeGame の公式アカウントが投稿したフィッシング リンクを知らずにクリックし、損失を被りました。

その後、ユーザーはその過程でDeGameが不正行為を行っていると誤解し、Twitter上でその事実を暴露し、KOLやメディア、相当数のユーザーが知らず知らずのうちに事件を拡散し続け、DeGameのブランドイメージに影響を与えた。プラットフォームの評判は大きな影響を与えました。

事件後、DeGame は被害ユーザーの資産回復を支援するための緊急計画を立ち上げました。DeGame フィッシング攻撃の経緯は大まかに次のとおりです。

(1) 3月14日午前4時から午前9時30分まで、DeGame公式あるユーザーは、エアドロップリンクをクリックした後に約 57 PufETH を失ったと報告しました。

(2) DeGame公式Twitter運営スタッフが午前9時30分過ぎにプラットフォーム上のフィッシングリンクを発見し、削除しました。同時に、DeGame は公式ソーシャル メディアとコミュニティを通じてすべてのユーザーにニュースを同期し、リマインド通知を発行しました。

(3) 被害者ユーザーは、DeGame 公式 Twitter アカウントの異常な時間帯にフィッシングサイトへのリンクと攻撃者が投稿した説明文を閲覧し、そのリンクが DeGame 公式と他のプロジェクト関係者との間で行われたものであると無意識に信じ込んでいた。トークンのエアドロップ アクティビティで、リンクをクリックし、攻撃者の事前設定されたプロンプトに従った後、資産が失われました。

(3) 被害者ユーザーは、DeGame 公式 Twitter アカウントの異常な時間帯にフィッシングサイトへのリンクと攻撃者が投稿した説明文を閲覧し、そのリンクが DeGame 公式と他のプロジェクト関係者との間で行われたものであると無意識に信じ込んでいた。トークンのエアドロップ アクティビティで、リンクをクリックし、攻撃者の事前設定されたプロンプトに従った後、資産が失われました。

(4) ユーザーがフィッシング Web サイトをクリックしてウォレットに接続すると、Web サイトはウォレットのアドレスに資産があるかどうかを自動的に検出します。アセットがある場合、Permit Token Approval トランザクション署名が直接ポップアップ表示されます。通常のトランザクション署名と異なるのは、この署名がチェーンにまったくアップロードされず、完全に匿名であり、違法な方法で使用される可能性が高いことです。さらに、ユーザーは、承認署名 (Permit) を添付することで、アプリケーション コントラクトを操作するための事前承認を必要としません。

(5) この盗難事件では、フィッシングハッカーは、フィッシング契約アドレス 0xd560b5325d6669aab86f6d42e156133c534cde90 に対して、盗まれたユーザーによって承認された Permit Token Approval トランザクション署名を取得し、攻撃トランザクションで Permit を送信して Approve を呼び出してトークンの承認を取得し、盗んだ資金を送金しました。 。

(6) フィッシング ツールの提供者はハッカー詐欺グループ Pink Drainer です。Pink Drainer は、攻撃者が悪意のある Web サイトを迅速に構築し、マルウェアの違法資産を通じて情報を取得できるようにするサービスとしてのマルウェア (MaaS) です。この盗難されたトランザクションで盗まれた資金の約 25% が、フィッシング グループ PinkDrainer のウォレット アドレス No. 2 である PinkDrainer: Wallet 2 に転送されました。これは、フィッシング ツールの使用後にフィッシング実行者によって PinkDrainer に与えられた自動アドレスです。フィッシンググループPinkDrainerに分かれています。

3.3 バッチ Rugpull によりイベント数が急増する

2024 年の Rugpull イベント数の急増は、RugPull 工場契約による Rugpull トークンのバッチ作成と密接に関連しており、SharkTeam セキュリティ調査チームは、これらの Rugpull イベントの詳細な分析を実施しました。分析中に、BNB チェーン上の Rugpull ファクトリー契約が過去 1 か月間で 70 以上の Rugpull を開始したことがわかりました。バッチ Rugpull イベントには、通常、次の動作特性があります。

(1) これらのトークンは、トークン ファクトリ コントラクトの createToken オペレーションによって作成されます。 createToken 関数では、トークンの作成時に次のパラメーターを渡す必要があります: トークン名、トークン記号、精度、供給、トークン所有者のアドレス、トークン ペアを作成するための工場契約アドレス、および BUSD-T ステーブルコイン アドレス。このうち、トークンペアを作成するファクトリーコントラクトはPancakeSwapのファクトリーコントラクトを利用しており、トークンごとに異なる所有者アドレスを持っています。

(2) トークン所有者は他のアドレスを使用して、Rugpull トークンを一括で売買します。売買操作では、トークンの流動性が大幅に増加し、価格が徐々に上昇します。

(3) フィッシングなどで宣伝し、多数のユーザーに購入を誘導し、流動性が高まるとトークン価格が2倍になります。

(4) トークンの価格が一定の値に達すると、トークンの所有者が市場に参入して販売し、ラグプルを実行します。

この一連の行為の背後には、明確な分業を持つ Web3 詐欺グループが存在し、主にホットスポット収集、自動通貨発行、自動取引、虚偽のプロパガンダ、フィッシング攻撃、ラグプル収集などのリンクを含むブラック産業チェーンを形成しています。発行された偽の Rugpull トークンは、注目の業界イベントと密接に関連しており、非常に混乱を招き扇動的です。ユーザーは常に警戒し、合理性を保ち、損失を回避する必要があります。

4. まとめ

2024 年第 1 四半期のセキュリティ インシデントによる損失総額は 4 億 6,200 万米ドルに達しており、この四半期の通貨価格の上昇などの要因が総額の増加に一定の影響を及ぼしていますが、全体として Web3 のセキュリティ状況は楽観視できるものではありません。 。スマートコントラクトロジックの脆弱性、Rugpullブラック産業チェーン、フィッシング攻撃などが、ユーザーの暗号化資産のセキュリティを脅かす主な原因となっており、Web3ユーザーやプロジェクトのセキュリティ意識を一刻も早く向上させ、損失を軽減できることを願っております。

私たちについて

SharkTeam のビジョンは、Web3 の世界を保護することです。このチームは、ブロックチェーンとスマート コントラクトの基礎理論に精通した、世界中から集まった経験豊富なセキュリティ専門家と上級研究者で構成されています。リスクの特定とブロック、スマートコントラクト監査、KYT/AML、オンチェーン分析などのサービスを提供し、高度な持続的脅威（高度な持続的脅威）に効果的に対抗できるオンチェーンのインテリジェントなリスク特定とブロックプラットフォームChainAegisを作成しました。 Web3 の世界における Persistent Threat)、APT)。 Polkadot、Moonbeam、polygon、Sui、OKX、imToken、Collab.Land、TinTinLand など、Web3 エコシステムのさまざまな分野の主要企業と長期的な協力関係を確立しています。

公式ウェブサイト：https://www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

電報: https://t.me/sharkteamorg

ディスコード: https://discord.gg/jGH9xXCjDZ