月に一度のセキュリティチェックの時期がまたやってきました！成都連安[Chain Bing-Blockchain Security Statusalware Platform]のセキュリティ世論監視データによると、2022年3月現在もさまざまなセキュリティインシデントが時折発生しており、3月にはさらに「30件」以上の典型的なセキュリティインシデントが発生しました。

【DeFi】露出したセキュリティリスクは2022年初め以来の最高値を記録した。今月発生したクロスチェーンブリッジRonin攻撃は、6億ドル以上の損失を出し、DeFi史上最も高額な攻撃となる可能性がある。(クリックして読んでください)副題

DeFiの側面

典型的なセキュリティインシデントが合計「13件」発生

No.1 3 月 5 日、住宅ローン契約のベーコン プロトコルがフラッシュ ローン攻撃を受け、約 96 万ドルの損失を被りました。

No.2 3 月 10 日、アルゴリズム資産プロトコル Fantasm Finance が契約の抜け穴により攻撃され、約 262 万米ドルの損失が発生しました。

No.3 3月15日、DeFiプロトコルのHundred FinanceとAgaveがフラッシュローン攻撃に遭遇しました。ハッカーは 2 つのプロトコルの再入可能脆弱性を悪用して、1,100 万ドル以上を盗みました。

No.4 3月15日、FantomでマルチチェーンデリバティブプラットフォームDeus Financeがハッキングされ、損失額は300万ドルを超える可能性があります。

No.5 3 月 20 日、BNB チェーンとイーサリアム上のアンブレラ ネットワークの報酬プールが引き出され、ハッカーは 70 万米ドルの利益を得ました。

No.6 3 月 20 日、クロスチェーン DEX アグリゲーション プロトコルである li.finance がコール インジェクション攻撃を受け、約 60 万ドルを失いました。

No.7 3月22日、Fantomの環境に優しいステーブルコインの収益最適化企業であるOneRingは、フラッシュローンによる攻撃を受け、ハッカーによって145万米ドル以上が盗まれたとの投稿を発表した。

No.8 3 月 23 日、ソラナ チェーンのアルゴリズム ステーブルコインであるカシオ ドルがハッキングされ、約 4,800 万ドルを失いました。

No.9 3 月 26 日、InuSaitama は裁定取引攻撃に遭遇した疑いがあり、合計約 430 ETH の利益を得ました。

No.10 3月29日、オプション契約Auctusの契約に抜け穴があり、ハッカーがそれを悪用し、オーソリを解除していないユーザーから約72万ドルの利益を得ました。

No.11 3月30日、Axie InfinityサイドチェーンRoninがハッキングされました。攻撃者は 9 つの検証ノードのうち 5 つを制御し、盗んだ秘密キーを使用して偽の引き出しを偽造し、最終的に約 6 億 2,000 万ドルを稼ぎ出しました。これはDeFi史上最大の攻撃となる可能性がある。 No.12 3月30日、イーサリアム上のDeFiプロジェクトBasketDAOのBMIZapperが脆弱性を理由に攻撃され、ハッカーは約120万ドルの利益を得ました。

副題

逃亡詐欺・仮想通貨詐欺

典型的なセキュリティインシデントが計「7件」発生

No.1 セキュリティ機関は $DAOKing-Lucky DAO が詐欺プロジェクトであることを発見し、その管理者は 505 BNB を Tornado.cash に入金し、事前に偽のスマート コントラクト アップグレードを実行しました。

NFTプロジェクトNo.2のNFTflowが暴走し、公式ソーシャルアカウント（@NftflowStarkNet）が停止された。

No.3 NFT プロジェクト WW3Apes には Rug Pull があり、そのソーシャルメディアアカウントはキャンセルされました。 WW3Apes Web サイトと同じ IP アドレスを使用する GodZape プロジェクトでも Rug Pull が行われ、約 20 ETH の資金が送金されました。

No.4 NFTプロジェクトREALSWAKが逃亡し、公式ソーシャルアカウント（@REALSWAK）が停止されました。詐欺師は 1,300 BNB を TornadoCash に送金しました。

No.5 BNB Chain の DeFi プロジェクト BNB DEFI が逃走し、ソーシャルメディアグループを閉鎖し、約 255 BNB を移管しました。

No.6 セキュリティ機関の監視により、@BinanceNFT_BFT が「Pixiu Disk」詐欺を宣伝している偽の Binance NFT Twitter アカウントであることがわかりました。

副題

NFT/メタバースの側面

典型的なセキュリティインシデントが計「6件」発生

No.1 3 月 13 日、BNB チェーン上のメタバース金融プロジェクト Paraluni がハッキングされ、ハッカーは 170 万米ドル以上の利益を得ました。盗まれた資金の約3分の1（230ETH）がTornadoに流入した。

No.2 Arbitrum ベースの TreasureDAO NFT 取引市場が脆弱性にさらされ、ハッカーはほぼゼロコストで 100 以上の NFT を入手しました。

No.3 3月14日、NFTプロジェクト「Wizard Pass」のDiscordコミュニティに詐欺師が侵入し、ユーザーのNFTへのフルアクセスを目的とした虚偽の情報を送信し、複数のNFTが盗難されました。

No.4 3月27日、金融NFTプロジェクト「Revest Finance」が攻撃され、ハッカーらにより大量の関連トークンが盗まれ、約200万ドルの利益を得ました。

No.5 APECoin エアドロップはフラッシュローン攻撃を受け、攻撃者は約 82 万米ドルの利益を得ました。

副題

他の側面

典型的なセキュリティインシデントが計「4件」発生

No.1 Convex Finance は、投票ロック CVX (vlCVX) 契約には抜け穴があり、ユーザーの預金はリスクなく安全であるとブログに投稿しました。

No.2 3月7日、韓国のトークン開発者幹部が、事業資金で投資した仮想通貨を自分の個人口座に不正に送金し、仮想通貨を盗んだ罪で懲役5年の判決を受けた。

No.3 3人の男が4,000万ドルの仮想通貨投資詐欺の疑いで米国司法省によって起訴された。

副題

🌀注意🌀

現在のブロックチェーンセキュリティ分野の新たな状況を考慮して、「成都聯南」は次のように要約しています。

全体として、2022年3月のブロックチェーンセキュリティインシデントは2月に比べて急増しており、攻撃セキュリティインシデントによる盗難総額は7億ドルを超えた。絶え間なく続く攻撃に対して、「Chengdu Lianan」は開発者向けに次のようなセキュリティに関する提案も提供しています。

Ronin クロスチェーン ブリッジ攻撃イベント: 1. 署名サーバーのセキュリティに注意する; 2. 署名サービスがオフラインになったら、ポリシーを適時に更新し、対応するサービス モジュールを閉じ、対応する署名アカウントを削除する必要があります。アドレスは破棄されたとみなされる可能性がある; 3. 多重署名の検証中、多重署名サービスは論理的に分離されるべきであり、署名の内容は独立して検証されるべきである; 4. プロジェクト当事者はプロジェクト資金の異常をリアルタイムで監視すべきである。

Revest Finance が攻撃されました: 契約の設計は検査-検証-相互作用モデルに厳密に従っていること、および再入防止機能を ERC1155 トークン関連の DeFi プロジェクトに追加することが推奨されます。

Paraluni セキュリティ インシデント: 契約開発者は、開発プロセス中に完全なテストとサードパーティ監査を実施し、再入攻撃を防ぐために Openzeppelin ライブラリの ReentrancyGuard 契約の使用法を開発します。

TreasureDAO のセキュリティ インシデント: 開発者は、複数のトークンの販売契約を開発する場合、さまざまなトークンの特性に応じて、さまざまな状況に応じたビジネス ロジックを設計することをお勧めします。