*1 はじめに*

8 月、Web3.0 のセキュリティ インシデントの数は依然として高水準であり、減少傾向は見られませんでした。 Know Chuangyuブロックチェーンセキュリティラボによると【ハッキングされたイベントアーカイブ】データによると、今月は先月とほぼ同じで 42 件以上のセキュリティインシデントが発生し、発生した損失総額は約 2 億 4,400 万米ドルでした。

8月のさまざまな種類のセキュリティインシデントの件数と割合を分析したところ、依然として詐欺と逃走によるセキュリティインシデントが最も深刻であり、これはほとんどの投資家がプロジェクトに投資する前にプロジェクトの性質をまだ認識していないことを示しています。そして騙されたのです。クロスチェーン通信プロトコルである Nomad が今月、これまでで最も混乱したハッキン​​グに見舞われ、1 億 9,000 万ドル近くの損失をもたらしたことは言及する価値があります。

今月のセキュリティインシデントの傾向は先月と大きな変化はなく、依然としてセキュリティインシデントが多発しています。千マイルにわたる堤防がアリの巣によって破壊されたため、人的損失を避けるために、全員とプロジェクト関係者が常に安全に備える必要があります。

以下はChuangyu ブロックチェーン セキュリティ ラボを知る8月に発表された各種セキュリティ情報の概要と、そこから浮き彫りになった問題点についての考察。

*2. DeFiセキュリティ型イベント*

8月2日、Zhichuangyu Blockchain Security Labは、クロスチェーン通信プロトコルNomadが攻撃され、その結果、約1億9,000万ドルの仮想通貨が流出したことを検出した。

8月2日、収益アグリゲーターであるReaper Farmが攻撃され、攻撃者は160万DAIと62ETHをTornado.Cashに送金した。

8 月 5 日、EtnProduct プロジェクトがフラッシュ ローン攻撃を受け、攻撃者は合計約 3,074 ドルの利益と、7,380 ドル相当の NFT を獲得しました。

8 月 5 日、ANCHStakePool プロジェクトが価格操作によって攻撃され、攻撃者は合計 106,931 USDT の利益を得ました。

8 月 8 日、BSC の EGD Finance プロジェクトがハッキングされ、利益を得るためにフラッシュ ローンによってトークンの価格が操作されました。ハッカーは合計約 36,000 BUSD の利益を得ました。

8月14日、iBTC/aUSDプールの脆弱性によりAcalaがハッキングされ、チームは問題の調査と解決の間、Acalaの運用を一時停止する緊急投票を可決している。

8月17日、Stader.Nearは公式ソーシャルメディアに、ハッカーがNearXスマートコントラクトの抜け穴を悪用し、約16万5000NEAR（約88万ドル）の損失を引き起こしたと投稿した。 Stader.Near はスマートコントラクトを一時停止しており、この期間中ユーザーは資金をステーク、アンステーク、または引き出すことができません。

8月22日、BNBチェーン上のDeFi融資契約であるCream Financeは流動性危機に直面しており、危機の主な理由は、この契約によりユーザー（0xE94f7a43d3fD2A159952a28B23D3A181564B7baA）が無担保で最大107,000BNBの借入を許可していたことだった。

8月24日、BNBチェーン上のDeFiプロトコルKaoyaSwapがトランザクション機能の誤ったロジックによって攻撃され、攻撃利益は約37,294BUSDと271.2WBNB（約8万米ドル）でした。

8 月 31 日、BNB チェーン上の CUPID トークン コントラクトがフラッシュ ローン攻撃に遭遇し、CUPID トークンと VENUS トークンの両方が急落し、攻撃者は 78,622 ドルの利益を得ました。

*3. 詐欺セキュリティ型イベント*

8月3日、暗号化プロジェクトTiFiトークンでラグプルが発生し、トークンTiFiの価格が20％下落し、合計利益は約700BNBとなった。

8月7日、暗号化プロジェクトSaxon James MuskにRug Pullが疑われ、トークンSJMUSKが68％以上下落、0x53aで始まるEOAアドレスの販売が続き、約1355BNB（約42万BNB）の利益を得た米ドル）が作られました。

8 月 8 日、ポリゴン チェーン ゲームの Dragoma に RugPull の疑いがかけられ、そのトークン DMA は 1.8 ドルから約 0.003 ドルまで急落し、99% 以上下落しました。損失は​​約270万米ドルとなった。

8月10日、XSTABLE.PROTOCOL上でラグプルが発生し、トークンXSTの価格が98.4％下落し、公式サイトxstable.financeは閉鎖された疑いがあり、Twitterアカウントも削除された。

8月10日、DeFiプロジェクトのブラー・ファイナンスにラグ・プルの疑いがかけられ、そのトークンBLRの価格が99％下落した。さらに、プロジェクトのソーシャルメディアアカウントは削除され、Polygon チェーンと BNB チェーン上の 60 万ドル相当の資産が移転されました。

8月11日、Wuliangyeと同名のNFTプロジェクトであるWuliangyeにRug Pullの疑いがかけられ、現在公式サイトとDiscordコミュニティは閉鎖されている。このプロジェクトは、同じ名前の有名なワインブランド「五梁業」とは何の関係もありません。プロジェクト参加者は合計 70.5 ETH を獲得しました。

8 月 12 日、BNBGrowth トークンで Rug Pull が発生し、契約の導入者はトークンを 393 BNB (約 127,000 米ドル) の価格で販売し、外部アカウント (EOA) に送信しました。

8月12日、GameFiプロジェクトのDL Worldにラグプルがあった疑いがあり、GSGの価格は97％以上下落し、約18万3000ドルの資産が移転された。

8月12日、0xea16アドレスから400BNBの資金を得た詐欺師がBitnityやACKTokenなど約20件の契約を作成し、価格をつり上げた後、契約資金を空にして3900BNBを送金するという事件が発生した。

8月14日、GEMDAOでラグプルが発生し、プロジェクト側は計322BNB（約10万5553ドル49セント）を奪った。

8月14日、BNBチェーン上のプロジェクトMMFinanceでラグプルが発生し、MMFトークンは93％以上下落した。

8月14日、ブラジルの暗号化融資プラットフォームBlueBenxは、ハッカー攻撃を受けて3200万ドルを失ったとして、2万2000人のユーザー全員の資金引き出しを禁止した。ブルーベンクスはハッキング攻撃の詳細を明らかにしておらず、一部の投資家はハッキング攻撃が詐欺ではないかと疑問を呈していた。

8月15日、ポリゴンチェーンプロジェクトFIOプロトコルでラグプルが発生し、FIOトークンの価格が100％下落しました。

8月15日、BNBチェーンのゴーコインプロジェクトでラグプルが発生した疑いがあり、ゴーコインは95％下落し、契約展開者は手数料を最高額に設定し、販売禁止アドレスをブラックリストに登録した。

8月23日、NFT取引プラットフォームのsudoswap模造ディスクSudoRareがRug Pullの疑いで519ETH（81万5000ドル）が盗まれ、現在の公式ソーシャルアカウントは停止された。

8月25日、BNBチェーン上のRSHIBプロジェクトでラグプルが発生し、RSHIBトークンの価格が92％急落した。契約展開者は流動性を削除し、最大 47 BNB を外部アカウント (EOA) アドレスに送信します。同プロジェクトのTwitterアカウントも削除された。

8 月 27 日、BNB チェーン上のプロジェクト ArcadeEarn でラグ プルが発生し、トークン価格が 59% 以上下落しました。導入者は 40,000 ArcadeEarn トークンを外部アカウント (EOA) に送信し、約 15,300 ドルで販売しました。

*4. フィッシングセキュリティ型イベント*

8 月 2 日、Gas Guzzlers プロジェクトの Discord サーバーがハッキングされました。ユーザーは、リンクをクリックしたり、トランザクションを作成したり承認したりしないように求められます。

8月2日、Cyber​​ CrewプロジェクトのDiscordサーバーが攻撃を受けた。ユーザーは、リンクをクリックしたり、トランザクションを作成したり承認したりしないように求められます。

8月2日、MiningverseプロジェクトのDiscordサーバーが攻撃を受けた。ユーザーは、リンクをクリックしたり、トランザクションを作成したり承認したりしないように求められます。

8月3日、NFTプロジェクトdTweeniesのDiscordサーバーが攻撃されたため、ユーザーはリンクをクリックしたり、トランザクションを作成したり承認したりしないよう求められます。

8月5日、Doge CapitalプロジェクトのDiscordサーバーが攻撃されました。ユーザーは、リンクをクリックしたり、トランザクションを作成したり承認したりしないように求められます。

8 月 11 日、Mogul Productions プロジェクトの Discord サーバーがハッキングされ、ユーザーはリンクをクリックしたり、取引をミントしたり承認したりしないよう求められています。

8月15日、NFTプロジェクトPirate ApesのDiscordサーバーが攻撃され、ユーザーはリンクをクリックしたり、取引をミントしたり承認したりしないよう求められている。

8月29日、Floaties Project Discordサーバーが攻撃されました。ユーザーは、リンクをクリックしたり、トランザクションを作成したり承認したりしないように求められます。

8月31日、Twitterアカウント@WJahituckerがハッカーに乗っ取られ、ハッカーはこれを利用してNFT取引市場であるLooksRareのアカウントになりすまし、エアドロップ詐欺を公開しました。

*5. その他のセキュリティ イベント タイプ*

8月3日、SolanaウォレットPhantomがハッキングされた疑いがあり、推定800万ドルの損失が発生した。

8月3日、暗号化取引プラットフォームZBのホットウォレットが秘密鍵の漏洩によりハッキングされたとみられ、ハッカーらは総額約480万ドルの利益を得た。

8月4日、Slope Wallet（Android、バージョン：2.2.2）のセントリーサービスで秘密鍵の漏洩が発生しました。

8月10日、分散型取引プラットフォームのCurve Financeはソーシャルメディアでウェブサイトのフロントエンドが攻撃を受けたと発表し、数時間以内にCurveを使用した場合は直ちに認証をキャンセルするようユーザーに注意を喚起した。攻撃ハッカーは57万ドル相当のETHを盗み、FixedFloatに送金された。

8月18日、Celer Networkが立ち上げたクロスチェーンブリッジcBridgeがDNSハイジャック攻撃を受け、ユーザー操作をリダイレクトして悪意のあるコントラクトと対話させ、ユーザー資産を盗みました。現在、攻撃者は攻撃で取得した暗号化資産ペアを127 ETHと交換し、Tornado Cashに送金しています。

8月21日、ハッカーはGeneral Bytesが所有するビットコインATMのサーバーのゼロデイ脆弱性を悪用し、顧客から暗号通貨を盗みました。ユーザーが ATM を通じて暗号通貨を預け入れたり購入したりすると、代わりに資金がハッカーによって盗まれます。

*6. まとめ*

DeFiのセキュリティ状況の観点から見ると、今月最も頻繁に発生したセキュリティインシデントはフラッシュローン攻撃と論理的抜け穴であり、その他のセキュリティインシデントも攻撃の種類がより多様化しています。今年のDeFiの形態を見ると、クロスチェーンプロジェクトはハッカーにますます好まれており、各クロスチェーンのセキュリティインシデントによって引き起こされる損失は非常に深刻であるため、クロスチェーンを安全に使用する方法について深く考える必要があります。 Chuangyu Blockchain Security Lab は、契約のセキュリティのためには、契約を他の攻撃から守るために定期的な監査と複合監査を実施する必要があることを皆さんに思い出させると同時に、認可の問題も非常に重視する必要があることを認識しています。明確な制限時間を設けてください。

フィッシングや詐欺の観点から見ると、この 2 種類のセキュリティインシデントが多発している理由は、攻撃手法が単純で操作が簡単であること、また、関与するユーザーに技術的な知識がほとんどないため、騙される可能性が高いことが挙げられます。 。ユーザーが潜在的な損失をできる限り減らすために、投資やプロジェクトの検査の過程でブロックチェーンについてさらに学ぶことも望まれますが、もちろん、ユーザーはフィッシングのリスクを軽減するためにいくつかのツールを使用することもできます。として FishAlert （https://fishalert.knownseclab.com）プラグインの場合、見慣れないドメイン名に遭遇した場合は、まず「それ」に尋ねると、リスクを大幅に軽減できます。