概要
2024 年 11 月の Web3 セキュリティ インシデントによる損失総額は約 8,624 万米ドルでした。このうち、Slowmist Blockchain Hacked Archives (https://hacked.slowmist.io) の統計によると、合計 21 件のハッキング事件が発生し、約 7,686 万米ドルの損失が発生し、そのうち 2,550 万米ドルが返還されました。関係する理由としては、契約の抜け穴、アカウントのハッキング、価格操作などがあります。さらに、Web3 詐欺対策プラットフォーム Scam Sniffer の統計によると、今月のフィッシング事件の被害者は 9,208 人で、損失額は 938 万米ドルに達しました。
https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report
重大なセキュリティインシデント
2024年11月4日、オンチェーン探偵ZachXBTの監視によると、暗号化ギャンブルプラットフォームMetaWinが攻撃された疑いがあり、イーサリアムとソラナチェーンで400万米ドル以上が盗まれた。 MetaWin CEO の Skel 氏によると、攻撃者はプラットフォームのスムーズな出金システムを通じて MetaWin のホットウォレットに侵入しました。
2024年11月11日、DeFiプロトコルのDeltaPrimeがAvalancheとArbitrumで攻撃され、DeltaPrimeの初期損失は475万ドルと推定されました。この攻撃の根本原因は、報酬請求機能における入力検証の欠如でした。
https://x.com/DeltaPrimeDefi/status/1855899502944903195
2024 年 11 月 15 日、Aptos をベースとした DeFi プロジェクトである Thala が攻撃され、2,550 万ドルが盗難されました。攻撃者はそのスマート コントラクトの脆弱性を悪用しました。プロジェクトチームは関連するスマートコントラクトを停止し、一部のトークンを凍結し、最終的に約1150万米ドルの資産を凍結することに成功した。法執行機関および複数のブロックチェーン セキュリティ チームと協力した後、プロジェクトは資産の回収に関する交渉に成功し、攻撃者が報奨金として 30 万ドルを保持することを許可しました。
https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg
デックス
2024年11月16日、オンチェーン取引端末DEXXの複数のユーザーの資金が盗まれました。 SlowMist セキュリティ チームの統計によると、この事件による被害は 2,100 万米ドルに達しています。現在、SlowMist セキュリティ チームは DEXX 関係者とパートナーの継続的な分析を支援しています。 11 月 28 日、SlowMist セキュリティ チームは、Solana チェーン上で 8,612 個の DEXX 攻撃者のアドレスを収集したと発表しました。EVM チェーン上の攻撃者のアドレスも、クリーニング統計の完了後に公開されます。
https://x.com/MistTrack_io/status/1862134946090881368
ポルター・ファイナンス
ポルター・ファイナンス
2024年11月17日、FantomベースのDeFiプロジェクトPolter Financeが攻撃され、約1,200万米ドルの損失が発生しました。攻撃者はフラッシュローンを通じてBOOのトークン準備金を枯渇させ、BOOのコンピューティング価格を人為的に吊り上げました。これにより、担保の実際の価値をはるかに上回るトークンを貸し出すことが可能となり、結果として巨額の利益を得ることができました。このプラットフォームの創設者らは、シンガポール当局に報告書を提出し、資金の返還について交渉するためにオンチェーンメッセージを通じて攻撃者に連絡を試みたが、まだ返答は得られていないと述べた。
https://x.com/polterfinance/status/1857971122043551898
特性分析とセキュリティに関する推奨事項
今月のセキュリティ インシデントの件数と損失の規模は、前月に比べて大幅に減少しました。この変化は、業界のセキュリティ保護対策の継続的な改善をある程度反映しています。攻撃原因の分布や発生した損失の規模に関係なく、コントラクトの脆弱性が最も高い割合を占めていることは注目に値します。今月発生した 7 件の契約上の脆弱性悪用事件により、損失総額の 39% に相当する約 3,000 万ドルの損失が発生しました。SlowMist セキュリティ チームは、プロジェクト関係者が常に警戒を怠らず、定期的に包括的なセキュリティ監査を実施して新しいセキュリティを追跡および解決することを推奨しています。プロジェクトと資産を保護するための脅威と脆弱性。
さらに、SlowMist セキュリティ チームは、仮想通貨業界を標的とした AI ポイズニング攻撃の実際の事件が今月発生したことに気づきました。この現象は、サプライチェーン攻撃の対象範囲がさらに拡大していることを示しています。効率を追求する一方で、AI が生成したコードに依存しすぎて、コードのセキュリティのレビューを怠る開発者もいるかもしれません。したがって、SlowMist セキュリティ チームは、開発者とプロジェクト関係者に対し、AI を使用してコードを生成する際に出力結果を盲目的に信頼しないように注意を促しています。セキュリティ リスクを防ぎ、プロジェクトとユーザーの資産セキュリティを保護するために、すべてのコードは実際に使用される前に厳格なセキュリティ監査とテストを受ける必要があります。同時に、プロジェクト当事者は、サプライチェーン全体のセキュリティ管理を強化し、サードパーティのツールやサービスの包括的な評価を実施し、新たな脅威にタイムリーに対応するために、関連分野のセキュリティ動向に引き続き注意を払う必要があります。やり方。
最後に、この記事に含まれるイベントは、今月の主要なセキュリティ イベントです。その他のブロックチェーン セキュリティ イベントは、Slowmist Blockchain Hacked Archives (https://hacked.slowmist.io/) でご覧いただけます。
全てのコメント