Chuangyu Blockchain 10 月セキュリティ月報

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

Chuangyu Blockchain 10 月セキュリティ月報

创宇区块链安全实验室

2022-11-01 09:59

本文约3800字，阅读全文需要约15分钟

2022 年 10 月のブロックチェーンセキュリティインシデントの分析と概要。

1 はじめに

市場が徐々に改善する中、10月にはさまざまな攻撃が急増し、その金額は非常に巨額となり、目を見張るものがありました。 Chuangyu Blockchain Security Lab [Hacked Incident Archives] のデータによると、今月は 53 件以上のセキュリティインシデントが発生し、損失総額は 8 億 5,000 万米ドルを超えています。中でもDeFiのセキュリティインシデントは急増しており、代表的なものはBNBチェーンのクロスチェーンブリッジであるトークンハブ（トークンセンター）のシステム契約がハッキングされ、5億6,000万ドルに上る被害が出ました。

2. データ分析

1. 割合分析:

今月のさまざまな種類のセキュリティインシデントの数と割合を分析した結果、攻撃のほぼ半数が DeFi 攻撃によるものであり、フィッシングは依然として発生率の高い攻撃タイプであることがわかりました。

2. 比較データ分析:

比較すると、今月は DeFi セキュリティと詐欺行為のインシデントが 2 倍になった一方で、他のセキュリティインシデントもわずかに増加したか、横ばいであったことがわかります。

3. 2022 年の月次セキュリティ傾向:

今月は全体のセキュリティインシデント件数が前月の2倍以上に比べて大幅に増加しており、市場が徐々に回復しつつあるとともに、大きなセキュリティ脅威ももたらしていることが分かります。

3. DeFiセキュリティタイプのイベント

10月2日にはクロスチェーンDEXアグリゲーターであるTransit Swapが攻撃され、現時点での損失額は2,800万米ドルを超えていると推定されている。この攻撃は主に、Transit Swap&Cross Approve Proxy 契約を承認したアドレスをターゲットとしています。
10月7日、BNBチェーンのクロスチェーンブリッジであるトークンハブ（トークンセンター）のシステム契約がハッカーに攻撃され、200万BNB、つまり約5億6千万米ドルが2度引き出された。
10 月 9 日、XaveFinance プロジェクトがハッキングされ、RNBW の発行額が 1,000 倍に増加しました。
10月11日、QANプラットフォームブリッジのスマートコントラクトが攻撃され、攻撃者はイーサリアムで約96万ドル、BNBチェーンで約114万ドルの利益を得た。
10月11日、DeFiプロトコルTempleDAOが攻撃を受けた疑いがあり、約234万ドルが失われた。
10 月 11 日、Rabby プロジェクトがハッキングされ、その額は約 20 万ドルにのぼりました。
10 月 12 日、Solana ベースの分散型金融プラットフォームである Mango が、1 億ドル規模の攻撃を受ける可能性がありました。
10 月 12 日、ATK プロジェクトはフラッシュローン攻撃を受け、攻撃者は 120,000 米ドルの利益を得ました。
10 月 14 日、MEV ロボット (0x00000....be0d72) が悪用され、損失は約 187.75 WETH でした。
10 月 17 日、MTDAO プロジェクトパーティの非オープンソース契約がフラッシュローン攻撃を受け、50 万米ドル近くの損失が発生しました。
10月18日、BitKeep Swapがハッカーによる攻撃を受け、開発チームが応急処置を行った結果、ハッカーによる攻撃は阻止されましたが、攻撃はBNB Chainに集中し、約100万米ドルの損失が発生しました。
10月18日、PLTDプロジェクトがハッカーに攻撃され、取引プール内のBUSDはすべて完売し、攻撃者は合計24,497BUSDの利益を得た。
10 月 19 日、Celo の Moola プロトコルが攻撃され、ハッカーは約 900 万ドルの利益を得ました。
10月20日、トークンGEO契約が攻撃されました。BNBチェーンでGEOを購入しないでください。
10月20日、「Ethereum Alarm Clock」（イーサリアム目覚まし時計）と呼ばれるサービスがスマートコントラクトの脆弱性を悪用され、ハッカーらは204ETH（約25万9800ドル相当）を入手した。
10月20日、Twitterユーザーは、BitBTCとOptimism間のクロスチェーンブリッジに「偽鋳造」の脆弱性があることを明らかにしたが、現在は修正されている。
10月21日、OlympusDAOはコードの抜け穴により約29万2000ドルを失った。
10月23日、Optimismのエコロジー投資プロジェクトであるLayer2DAOがハッカーの攻撃を受け、ハッカーはLayer2DAOの多重署名権限を取得して約4,995万個のL2DAOトークンを盗み、その一部を販売した。損失は約 320,000 米ドルでした。
10月24日、QuickSwapはフラッシュローン攻撃により22万ドルを失い、融資市場を一時的に閉鎖する予定だ。
10月25日、ULMEトークンプロジェクトがハッキングされ、50,646BUSDが失われました。
10月25日、メロディーSGSプロジェクトの資産デポジットアップグレード契約がハッキングされた疑いがあり、合計2,225BNBの損失が発生しました。損失は約64万ドルとなった。
10月27日、マルチチェーンウォレットUvTokenが攻撃され、UVTトークンの価格が99％下落し、攻撃者は盗んだ約5,011BNB（約150万米ドル相当）をTornado Cashに送金した。
10 月 27 日、Team Finance チームは、Uniswap v2 から v3 への移行中にプロトコルで管理されている資金がハッキングされ、確認された損失は 1,450 万ドルであると発表しました。
10月27日、TrustSwapプロジェクトがハッキングされ、少なくとも779万ドル（ETH 880.2554、DAI 6,429,327.65）に影響を与えました。
10 月 27 日、プロジェクト Victor the Fortune がフラッシュローン攻撃を受け、攻撃者は約 58,000 米ドルの利益を得ました。
10 月 28 日、FriesDAO は Profanity の脆弱性により攻撃を受け、約 230 万ドルを失いました。

4. 詐欺セキュリティタイプのイベント

10月2日、BTU（BTU）プロジェクトは88％以上の下落を経験し、このプロジェクトがラグプルプロジェクトであることが確認されました。
10 月 6 日、Easier (EAI) は 66% 以上の下落を経験し、このプロジェクトはラグプルプロジェクトであることが確認されました。
10月7日には、模倣品プロジェクトGMX（GMX）が88％以上下落し、このプロジェクトがラグプルプロジェクトであることが確認された。
10月9日、JumpnfinanceプロジェクトでRugpullが発生し、現在、盗まれた資金のうち2,100 BNB（58万1,700ドル）がTornado.Cashに送金され、残りの2,058 BNB（57万1,128ドル）が依然として攻撃者のアドレスに保管されている。
10月16日にはSHOKプロジェクトの価格が83％以上下落し、ラグプルであることが確認され、約7万1400ドルの利益を得た詐欺行為となった。
10月20日、Mango INUプロジェクトがラグプルであることが確認され、通貨価格が80％以上下落し、約4万8500ドルの利益を得た。
10月20日にはDDプロジェクトの価格が87％以上下落し、ラグ・プルであることが確認され、約10万9000ドルの利益を得たという。
10月24日、フリーウェイプロジェクト関係者は公式リストを削除し、1億ドル以上の金額を伴うラグプルを実施した。
10 月 24 日、Mango 攻撃者は Rug Pull プロジェクト Mango Inu を展開して 100,000 ドルを稼ぎました。
10 月 28 日、公式 Aptos を装ったエアドロップ詐欺により 114.8 ETH が獲得されました。フィッシング Web サイト airdrop.aptlabs.fi をクリックしないでください。

5. フィッシングセキュリティタイプのイベント

10月9日、イギリスの有名ガールズグループ「スパイス・ガールズ」のメンバー、メル・Bさんが地元警察に自身のWhatsappが暗号化されたハッカーに攻撃されたと通報し、彼女の家族や有名人の友人らに偽の仮想通貨寄付リクエストが殺到した。
10 月 8 日、Flaskies プロジェクトの Discord サーバーが攻撃されました。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
10月9日、70万ドル（約540ETH）以上相当の7つの「退屈な猿」BAYC、すなわちBAYC 4317、755、6567、8761、2951、9611、および8274が盗まれた。被害者はだまされて悪意のある契約を承認させられ、その結果ウォレットから BAYC が盗まれました。
10 月 15 日、Whisbe Vandalz プロジェクトの Discord サーバーが攻撃されました。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
10月16日、Project KaitoプロジェクトのDiscordサーバーが攻撃を受けた。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
10月18日、XANAプロジェクトのDiscordサーバーが攻撃を受けた。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
10月22日にはGateの公式Twitterアカウントがハッキングされた疑いがあり、フィッシングメッセージが送信される事件が発生しており、利用者は資産の安全性への注意を呼び掛けている。
10月22日、Vivity Project Discordサーバーが攻撃されました。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
10月22日、「Project Shojira」プロジェクトのDiscordサーバーが攻撃を受けた。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
10月25日、FTXおよび3Commas APIキー関連のフィッシング事件に関与した攻撃者は、Binance USとBittrex取引所も攻撃し、それぞれ1,053 ETHと301 ETHを盗みました。
10月26日、NFTプロジェクトprimordialsのDiscordサーバーが攻撃されました。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。
10月28日、NFTプロジェクト「Oxya Origin」のDiscordサーバーが攻撃を受けた。コミュニティユーザーは、取引をクリックしたり、ミントしたり、承認したりしないでください。

6. 他のセキュリティイベントタイプ

10月11日、パラスワップ展開者の秘密鍵が漏洩した疑いがあり、複数のチェーンで資金が盗まれた。
10月11日、TokenPocket公式サイトが異常トラフィックによる攻撃を受け、技術チームが緊急メンテナンスを行っております。
10月17日、日本の取引所が北朝鮮政府直属とみられるラザロ・グループによるサイバー攻撃を受けた。
10 月 25 日、Web3 エンターテインメントおよびソーシャルアプリケーションである Melody のトークンアドレスがハッカーによって盗まれ、チームは一時的に引き出し機能を閉鎖しました。
10月26日、Spookie Financeのフロントエンドが攻撃された疑いがあり、GHOSTの価格はほぼゼロまで下落した。

7. まとめ

DeFiの観点から見ると、関連するセキュリティインシデントの中には、最も一般的なフラッシュローン攻撃に加えて、クロスチェーンブリッジ攻撃も頻繁になってきています。ここでもう一度、コントラクト監査の重要性を皆さんに思い出していただきたいと思います。かなりの数の攻撃イベントにおいて、基本的にロジックの問題が最も深刻な影響を及ぼします。そのため、開発者は開発時にコントラクト機能のロジックを厳密に開発する必要があります。同時に、契約を他の攻撃から保護するために定期的な監査と契約のセキュリティのための複合監査を実施する必要があり、フラッシュローンとクロスチェーンブリッジ契約を非常に重視します。

フィッシングと詐欺の逃走という観点から見ると、詐欺の実行は先月に比べて大幅に増加しており、投資家はプロジェクトとプロジェクト関係者のあらゆる側面を包括的に調査し、悪質な行為を防ぐためにすべてのプロジェクトに注意を払う必要があると警告しています。プロジェクトファングが金銭を騙し取って逃走、フィッシングは基本的に先月と同じで増加幅は大きくないものの、件数は全く減少せず、依然として攻撃者はフィッシングの方がユーザーを騙しやすいと考えていることが分かるChuangyu Blockchain Security Lab は、未知の取引をクリックしたり、ミントしたり、承認したりしないように、対話プロセス中にウォレットやブラウザのプロンプトに注意を払うようにと注意を喚起していることを知っていると、読者はこの点について軽視しがちです。また、承認操作には特に注意してください。

安全性