最新のWeb3業界セキュリティレポートによると、Gate Researchから12月に合計27件のセキュリティインシデントが発生し、約411万ドルの損失が発生しました。インシデントの種類は多岐にわたり、契約の脆弱性が合計損失の72％を占める主要な脅威であることがわかりました。また、FEGの脆弱性、Clober契約の脆弱性、Clipper DEX契約の脆弱性、HarryPotterObamaSonic10Inuのフラッシュローン攻撃など、主要なセキュリティイベントについて詳細な分析も提供されています。契約の脆弱性とアカウントハックが、その月の主要なセキュリティリスクとして特定され、業界がセキュリティ対策を強化する必要性を浮き彫りにしています。

キータケアウェイ

• 2024年12月、Web3業界は27件のセキュリティインシデントを経験し、前月に比べて損失は約411万ドルに減少しました。
• 今月のセキュリティインシデントは、主に契約の脆弱性とアカウントのハックに関連していました。
• 契約の脆弱性は、仮想通貨業界のセキュリティインシデントの総損失の72%を占める依然として主要な脅威です。
• 主要なブロックチェーン、BSC、Ethereum、Cardano、およびBaseを含む多くの損失が発生しました。
• 今月の主な事件には、FEGセキュリティの脆弱性（100万ドルの損失）、Clober契約の脆弱性（50万ドルの損失）、Vestra DAO契約の脆弱性（50万ドルの損失）、Moonhackerアカウントハック（32万ドルの損失）、そしてHarryPotterObamaSonic10Inuフラッシュローン攻撃（24.3万ドルの損失）が含まれます。

セキュリティインシデントの概要

Slowmistのデータによると、2024年12月には合計27件のハッキング事件が発生し、その結果、損失額は411万ドルとなりました。攻撃は主に契約の脆弱性、アカウントハック、その他の方法に関与していました。11月と比較して、事件の数と総損失額が大幅に減少したことから、業界のセキュリティ対策と意識が改善されたことが示唆されています。契約の脆弱性は引き続き攻撃の主要な原因であり、9件の事件が総額298万ドル以上の損失、または総額の72%を占めています。公式のXアカウントや暗号通貨プロジェクトのウェブサイトは、ハッカーの主な標的となっています [1]。

今月の公開ブロックチェーンのセキュリティインシデントの分布は、ほとんどの損失がいくつかの成熟した人気のあるブロックチェーン、特にEthereumとBaseに集中していることを示しています。それぞれ2.01万ドルと95万ドルの損失があります。これは、公開ブロックチェーンの強固なセキュリティの基盤にもかかわらず、アプリケーション層とスマートコントラクトの脆弱性が依然としてユーザーの資金に重大なリスクをもたらしていることを強調しています。

この月には、いくつかのブロックチェーンプロジェクトが重大なセキュリティインシデントを経験し、大きな財務損失が発生しました。注目すべきインシデントには、100万ドルの損失を引き起こしたFEGセキュリティ脆弱性、50万ドルの損失をもたらしたClober契約の脆弱性、50万ドルの損失をもたらしたVestra DAO契約の脆弱性、そして45.7万ドルの損失を引き起こしたClipper DEX契約の脆弱性が含まれています。

12月の主要なセキュリティインシデント

公式の開示によると、以下のプロジェクトは12月に322万ドルを超える損失を被りました。これらの事例は、契約の脆弱性が引き続き重大な脅威をもたらしていることを強調しています。

• 攻撃者は、Clipperで使用されているスマートコントラクトの脆弱性を悪用し、単一資産の入金/出金機能を操作しました。この操作により、OptimismとBaseネットワーク上の流動性プールに影響が及び、プールの資産に不均衡が生じ、攻撃者が預けた金額を超える金額を引き出すことが可能になりました。この攻撃により、約457,878ドルの損失が発生しました。
• Vestra DAOは、ハッカーがロックされたステーキング契約の脆弱性を悪用し、報酬メカニズムを操作して正当なものを超える過剰な報酬を獲得したとツイートしました。この事件により、73,720,000 VSTRトークンが盗まれました。盗まれたトークンは徐々にUniswapで売られ、ETHで約$500,000の流動性損失を引き起こしました。VSTRトークン経済とプロジェクトの安定性を保護するために、残りの755,631,188 VSTRトークンが永久に流通から削除されました。
• Clober DEXの流動性ボールトは、Base Network上に構築されていましたが、攻撃を受け、133.7 ETH（約$501,000）の損失が発生しました。チームはまた、盗まれた資金の20%を賞金として提供し、脆弱性の特定を求め、残りの資産を回収することを期待していました。しかし、交渉は合意に達しませんでした。
• HarryPotterObamaSonic10Inu は、イーサリアム上でフラッシュローン攻撃の標的となり、HarryPotterObamaSonic10Inu 2.0 トークンの流動性プールを標的とした一連の搾取取引が行われました。攻撃者は約 243,000 ドルの利益を得て、その資金をトルネードキャッシュに預け入れました。
• FEGプロジェクトはセキュリティの脆弱性攻撃に遭い、約100万ドルの損失が発生しました。分析によると、根本的な原因は、クロスチェーンメッセージングとトークンの転送に使用される基礎となるWormholeクロスチェーンブリッジとの統合時の相互運用性の問題でした。チームは中央集権取引所でのすべてのFEG取引を一時停止し、SmartDeFiプロトコルも一時停止されました。

クリッパーDEX

プロジェクト概要：Clipperは、小規模な暗号通貨トレーダー（10,000ドル未満）に最適なレートを提供するために設計された分散型取引所（DEX）です。これは、流動性を制限し、一時的な損失を減らすことによって実現されています。

インシデントの概要：Clipperによって公開された分析レポートによると、2024年12月1日、攻撃者はClipperが使用するスマートコントラクトの脆弱性を悪用し、単一資産の預入れ/引き出し機能を操作しました。この操作により、OptimismおよびBaseネットワーク上の流動性プールに影響を与え、プール資産の不均衡を引き起こし、攻撃者が預け入れた以上の資産を引き出すことが可能となりました。この攻撃により、約457,878ドルの損失が発生しました。

数時間以内に、AdmiralDAOは緊急対応計画を立ち上げ、プロトコル内の残りの資金を保護し、攻撃を停止するための措置を迅速に取りました。対応後、追加の資金に影響はありませんでした[2]。

事後対応の推奨事項:

• インバリアントチェックの拡張：シングルアセットの引き出し中にプールの不変式が一貫していることを保証するために、最新バージョンの契約でClipperが適用したチェックと同様に、オンチェーン検証を実装します。
• Oracle価格検証の拡張：最新バージョンの契約でClipperが実行しているように、入金と出金の資産価値検証にオンチェーン価格オラクルを統合します。
• 新規入金が預金署名の有効期間（例えば数分）を超えるロック期間の対象となる場合、この攻撃は不可能になります。

ヴェストラDAO

プロジェクトの概要：VSTRは、セミ分散化されたWeb2+Web3ハイブリッドサービスを提供するNFTコミュニティ「CMLE」（Crypto Monster Limited Edition）によって開発されたトークンです。VSTRは分散型自治組織（DAO）プロジェクトとして運営され、DeFiソリューションを提供しています。

インシデントの概要：2024年12月4日、Vestra DAOは、ロックされたステーキング契約の脆弱性を悪用し、報酬メカニズムを操作して正当な範囲を超える過剰な報酬を獲得したハッカーによる攻撃があったとツイートしました。この事件により、合計73,720,000 VSTRトークンが盗まれました。盗まれたトークンはUniswapで徐々に売却され、ETH流動性で約$500,000の損失が発生しました。

チームは素早く問題を特定し、これらの契約とのさらなるやり取りを無効にするために、ロックステーキング契約をブラックリストに登録することで即座に対応しました。その結果、ステーキングプール内の755,631,188 VSTRトークンが流通から削除され、これらの契約からの資金を引き出すことはできなくなりました。12月6日、チームはVSTRのトークノミクスとプロジェクトの安定性を保護するため、残りの755,631,188 VSTRトークンを永久に流通から削除することを発表しました[3]。

インシデント後の推奨事項:

• 包括的な契約セキュリティ監査と最適化を実施します
  信頼性のある第三者セキュリティ監査ファームを雇い、すべてのスマートコントラクトを徹底的にレビューし、特にステーキングおよびロックされた契約を重点的に確認します。焦点は許可管理、境界条件の処理、およびコードロジックのセキュリティに置かれるべきです。監査後、契約コードは推奨事項に基づいて最適化され、監査報告書は透明性とユーザーの信頼を高めるために公開されるべきです。

• マルチレイヤの保護メカニズムとリアルタイムモニタリングの展開

• Timelock機能の実装: キー操作に時間遅れを導入し、異常が発生した場合に操作を一時停止したり介入する時間を確保します。
• リアルタイムモニタリングおよびアラートシステムの導入：オンチェーンデータ分析を使用して、異常な取引行動や契約の相互作用をリアルタイムで検出し、不審な活動を通知するアラートシステムを実装し、脆弱性による潜在的な損失を最小限に抑えます。

Clober DEX

プロジェクト概要：Cloberは完全なオンチェーンのオーダーブックDEXであり、オンチェーンのオーダーマッチングと分散型スマートコントラクトプラットフォームでの決済が可能です。Cloberを使用すると、市場参加者は管理可能なコストで完全に分散化されたトラストレスなリミットオーダーと市場オーダーを出すことができます。

インシデント概要:
2024年12月10日、Base Network上のClober DEXの流動性ボールトが攻撃され、133.7 ETH（約$501,000）の損失が発生しました。攻撃の根本的な原因は、Rebalancer契約内の_burn()関数における再入可能性の脆弱性でした。

チームは、盗まれた資金の20％を報奨金として提供し、セキュリティの脆弱性を特定することを条件に、残りの資産が返されることを保証しました。さらに、チームは攻撃者が協力した場合、法的措置は取らないと保証しました。2024年12月31日、チームは、交渉が合意に達しなかったこと、攻撃者が盗まれた資産をTornado Cashに移動させたことを述べました。チームは、法執行機関と協力して、攻撃者の出所を追跡しています[4]。

ポストインシデントの推奨事項:

• 強化されたスマートコントラクトのセキュリティ：プロジェクトチームは、スマートコントラクトのセキュリティレビューを強化する必要があります。すべてのコードは、展開前に厳格な監査を受けるべきであり、攻撃リスクを低減するために定期的な脆弱性スキャンを行うべきです。
• ロバストな資金管理戦略：攻撃の場合に潜在的な損失を減らすため、シングルコントラクトでの資産の過度な集中を防ぐために、マルチサインウォレットとレイヤードファンドストレージシステムを実装します。
• セキュリティ組織との協力: ブロックチェーンセキュリティチームや法執行機関との迅速な協力により、インシデント後の損害を効果的に制御し、資産の回復を迅速化することができます。

HarryPotterObamaSonic10Inu

プロジェクト概要：HarryPotterObamaSonic10Inuは暗号資産の究極の形態です。BITCOINからインスピレーションを受け、プロジェクトは斬新で楽しいミームコンテンツの作成を奨励しています。所有権が放棄され、流動性がロックされているため、成長を続けるコミュニティがリードを取っています。伝説的なBitcoinミームからインスピレーションを受け、プロジェクトはユニークなウェブサイト、独占的な商品、電子商取引プラットフォームを開発しています。目標は、アクティブなコミュニティメンバーが交流し協力できるエコシステムを作成することです。

インシデント概要:
2024年12月18日、イーサリアムネットワーク上のHarryPotterObamaSonic10Inu 2.0トークンの流動性プールを標的とした一連の搾取的な取引が行われました。攻撃者は約243,000ドルの利益を上げ、その資金をTornado Cashに送金しました。

その後の4日間で、トークンの価格は約-33.42%の大幅な下落を見せ、時価総額は2億4,500万ドルから1億6,800万ドルに減少しました[5]。\

事件後の推奨事項：

• スマートコントラクトのセキュリティ監査と最適化を強化する
  既存のスマートコントラクトの包括的なセキュリティ監査を実施するために第三者の専門組織を活用し、流動性プールの論理とアクセス制御に焦点を当てる。脆弱性は修正され、契約コードは最適化されるべきです。タイムロックやレート制限などのメカニズムを追加して、短期間での悪意のある操作を防ぐべきです。

• オンチェーンプライスオラクルを統合する
  入金および出金トランザクション中に信頼性のあるオンチェーンオラクルを統合して、操作が実際の市場価値に一致しており、価格操作による資金の操作を防止します。

• コミュニティの透明性と信頼性の向上
  インシデント調査結果と改善計画の結果を公開し、情報の透明性を確保し、ユーザーコミュニティ内での信頼を築く。

FEG

FEGトークンは、FEGエコシステム内のデフレーションガバナンストークンであり、分散型取引所とパッシブインカムインセンティブメカニズムを含んでいます。その目標は、分散型取引ネットワークの運営モデルを再構築することです。このトークンは、EthereumおよびBinance Smart Chainの両方のネットワークで利用できます。

事件概要：
2024年12月29日、FEGプロジェクトはセキュリティ脆弱性攻撃の標的となり、約100万ドルの損失が発生しました。インシデントの根本原因は、クロスチェーンメッセージングとトークンの送金を可能にする基盤となるWormholeクロスチェーンブリッジの統合に関連する組み合わせ可能性の問題であると見られています。後に、Wormhole Foundationは、Wormholeプロトコル内に問題が見つかっておらず、攻撃はWormholeとは無関係であると明らかにしました。

事件の後、チームは集中取引所でのすべてのFEGトランザクションを一時停止し、包括的な調査を開始しました。SmartDeFi契約コードは直接的に影響を受けませんでしたが、予防策としてSmartDeFiプロトコルも一時停止されました。ただし、プロトコル上のすべてのプロジェクトはこれまで安全であり続けています[6]。

インシデント後の推奨事項:

• 包括的なセキュリティ監査を実施します：サードパーティの専門組織によるスマートコントラクトとプラットフォームコードのセキュリティ監査を依頼し、アクセス制御、論理的な欠陥、コードの脆弱性に焦点を当てて徹底的に監査します。監査結果に基づいて、特定された問題を迅速に対処し修正し、監査報告書を公開してユーザーの信頼を高めます。
• 脆弱性開示および報奨プログラムの設立：セキュリティ研究者や倫理的ハッカーに潜在的な脆弱性を特定し報告するよう促す継続的なバグ報奨プログラムを立ち上げる。これにより、将来のセキュリティリスクを軽減するために迅速に脆弱性に対処することができます。
• 資産保護とユーザー補償メカニズムの強化: 異常な取引のリアルタイム監視、タイムロック機能の実装、マルチサインウォレットの使用など、多層の資産保護システムを開発します。影響を受けたユーザーに対しては、公正かつ透明な補償計画を立案し、ユーザーの信頼を回復し、財務上の損失を最小限に抑えます。

結論

2024年12月、複数のDeFiプロジェクトがセキュリティの脆弱性の標的となり、数百万ドルの資産が失われました。これらの事件には、Clober DEXの流動性ボールト攻撃、FEGとWormholeの統合によるクロスチェーンの脆弱性、Vestra DAOのステーキングの脆弱性、Clipper DEXの単一資産引き出し機能の操作、HarryPotterObamaSonic10Inuへのフラッシュローン攻撃などが含まれていました。これらの出来事は、スマートコントラクトのセキュリティ、クロスチェーンプロトコルの組み合わせ性、流動性プールの管理における重大なリスクを浮き彫りにしました。業界は緊急にスマートコントラクトの監査を強化し、リアルタイムのモニタリングを実施し、多層の保護メカニズムを採用してプラットフォームのセキュリティとユーザーの信頼を向上させる必要があります。Gate.ioは、ユーザーにセキュリティの最新情報を把握し、信頼性のあるプラットフォームを選択し、個人の資産保護を強化するよう呼びかけています。


参照:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

ゲートリサーチ
Gate Researchは包括的なブロックチェーンおよび暗号研究プラットフォームで、読者に技術分析、ホットな洞察、市場レビュー、業界研究、トレンド予測、およびマクロ経済政策分析を含む詳細なコンテンツを提供しています。

Click the リンク詳細を学ぶ

免責事項
仮想通貨市場への投資には高いリスクが伴いますので、ユーザーは独自の調査を行い、資産と製品の性質を完全に理解することをお勧めします。購入投資決定をする前に。Gate.ioは、そのような投資判断によって引き起こされる損失や損害に対して責任を負いません。