Gate Research: 2024 年 11 月のセキュリティ インシデントの概要

まとめ

• 2024年11月、Web3業界では21件のセキュリティ事件が発生し、約76,860,000ドルの損失が発生し、前月に比べて減少しました。
• 本月のセキュリティイベントは、契約の欠陥、アカウントのハッキング、およびその他の攻撃方法に集中しています。
• 契約の欠陥は依然として主要な脅威であり、総損失の39%を占めています。
• 今月のセキュリティイベントの損失は、主にEthereumとPolygonに集中しています。
• 今月の資金損失の大きな事件には、Thala契約のバグによる損失2,550万ドル、DEXXの秘密鍵の漏洩による損失2,100万ドル、およびPolter Financeのフラッシュローン攻撃による損失1,200万ドルが含まれています。

セキュリティイベントの概要

Slowmistのデータによると、2024年11月には21件のハッキング事件が発生し、約76.86百万ドルの損失が発生しました。今月のセキュリティイベントは、契約の欠陥、アカウントのハッキング、およびその他多くの攻撃方法に焦点を当てています。今月のセキュリティイベントの数と損失規模は前月より大幅に減少し、これは業界がセキュリティ対策とセキュリティ意識の向上に関して持続的に改善していることを一定程度反映しています。注目すべきは、契約の欠陥が依然として攻撃と損失の主な原因であることです。今月発生した7件の契約の欠陥を利用した事件は、合計損失の39%を占める3,000万ドル以上の損失をもたらしました。さらに、暗号化プロジェクトの公式Xアカウントと公式ウェブサイトは依然として主要な標的となっています。【1】

Scam Snifferのデータによると、今月のパブリックチェーンセキュリティイベントの分布状況から、損失は比較的成熟し人気のあるいくつかのパブリックチェーンで集中しています。特に、EthereumとPolygonでは、それぞれ691万ドル超と105万ドルの損失が発生しています。これは、パブリックチェーン自体の基礎的なセキュリティが高いにも関わらず、アプリケーションレイヤーやスマートコントラクトの脆弱性がユーザーの資金安全に重大なリスクをもたらすことを示しています。【2】

今月、複数のブロックチェーンプロジェクトがセキュリティイベントに見舞われ、多額の資金が失われました。資金損失規模が大きかったセキュリティイベントには、Thalaの契約の脆弱性により2,550万ドルが盗まれた事件、DEXXの秘密鍵漏えいで2,100万ドルの損失、およびPolter Financeのフラッシュローン攻撃による1,200万ドルの損失が含まれています。

11月の重大なセキュリティイベント

公式に公開されたデータによると、11月に100万ドル以上の損失を出したプロジェクトは以下のとおりです。11月に多数のセキュリティ事件が発生したことから、契約の欠陥は依然として大きな脅威です。

• Thala は流動性プールが契約の脆弱性攻撃を受け、最大2,550万ドルの損失を被りました。最終的に全てのユーザー資金を回収しましたが、この事件は契約設計上のリスク問題を露呈しました。
• DEXX サーバーが直接秘密鍵を配布する方法には明らかな危険があり、ユーザーの資金が盗まれ、総額は2,100万ドルに達しています。このような操作方法は完全に改善する必要があります。
• Polter FinanceのSpookySwapがフラッシュローン攻撃を受け、1200万ドルの損失を被りました。新しい市場の導入後の不十分なセキュリティテストが問題の原因である可能性があります。このような事件は、プロジェクトが新機能を導入する前に、包括的なセキュリティ審査を行う必要があることを思い起こさせます。
• Delta Primeは複数のオンチェーンで契約の脆弱性による攻撃を受け、約475万ドルの損失を被った。これは、成熟したオンチェーンでもプロジェクトが完全にセキュリティリスクを回避することはできないことを示している。同様に、MetaWinも未知の攻撃に遭い、400万ドルの損失を被った。これらの事件は複数のオンチェーンで発生しており、攻撃手法の多様性と複雑さが増していることを示している。
• CoinPoker のホットウォレットがハッキングされ、約200万ドルの損失が発生しました。この事件は複数のネットワークに関与しており、攻撃者は資金をプライバシープロトコルに送り、洗浄を行いました。XT Exchangeは原因不明のハッカー攻撃に遭い、170万ドルの資産を失いました。攻撃者は迅速に資金をETHに交換し、特定のアドレスに送金しました。

ターラ

**プロジェクト概要：**Thalaは、Aptosベースの分散化安定コインプロトコルであり、収益を生み出す安定コインと流動性供給層を提供することを目的としています。このプロトコルは、流動性担保派生品、流動性プールトークン、預金証明トークン、および実物資産に連動する資産など、さまざまな形式の担保をサポートしています。この多様な担保設計により、分散化と検閲耐性を保証するだけでなく、資本効率も両立しています。

イベントの概要：

2024年11月15日、Aptosエコシステムの DeFi プロジェクトThalaでセキュリティイベントが発生し、損失額は2,550万ドルになりました。攻撃者はスマートコントラクトの脆弱性を利用して攻撃を実行しました。イベント発生後、プロジェクトは関連する契約を迅速に一時停止し、一部のトークン資産を凍結しました。【3】

後に調査した結果、プロジェクトは約1,150万ドルの資産を凍結しました。その後、プロジェクトは法執行機関および複数のブロックチェーンセキュリティチームと協力して、この事件に積極的に対処しました。協議の結果、プロジェクトは盗まれた資金を回収しました。協議内容に基づき、攻撃者は30万ドルの報酬を得ました。

事後リマインダー：

*プロジェクトチームは、スマートコントラクトのセキュリティレビューを強化する必要があります。 コードを公開する前に、厳格なセキュリティ監査を受け、定期的な脆弱性検出を実施して、攻撃される可能性を減らす必要があります。

• 資金管理戦略は非常に重要です。プロジェクト側はマルチシグネチャー機構と階層化された資金の保管戦略を設定するべきであり、攻撃時の潜在的な損失を回避するために、過度な資金を単一の契約に集中させないようにする必要があります。
• 安全模組との協同は不可不得。事件発生後に、性速とブロックドチェイン安全チームと訷測機関との連動を使い、正常に流取を制御しますと資产追加を加速さします。

デックス

**プロジェクトの概要：**DEXXは、memecoin取引のために設計されたオンチェーントークン取引端末アプリで、包括的な機能サポートを提供します。プラットフォームには正確なデータ分析ツール、モバイル損切りなどの高度な取引戦略が統合されており、スマートなウォレットモニタリングとリアルタイムなプッシュ機能も備えており、取引体験を最適化し、資産を効果的に管理するのに役立ちます。

イベントの概要：

11 月 16 日、DEXX プラットフォームは重大なセキュリティインシデントに遭遇しました。公式秘密鍵の管理が不適切だったため、秘密鍵が漏洩し、ユーザーの資産が盗まれ、総損失は 2,100 万ドルを超え、被害者は 500 人を超えます。影響を受けたトークンには、BAN、Banana、LUCE が含まれており、そのうち BAN の損失額が最も大きいです。【4】

以下は DEXX ハッカー事件のタイムライン整理：

• 11月19日、 DEXXはセキュリティインシデントに関して訴訟を提起することを正式に発表しました。プラットフォームは追跡された金額に基づいて補償計画を立てると述べています。 SlowMistチームは捜査当局の調査を支援し、およそ2,000の疑わしいアドレスが特定されました。
• **11 月 25 日，**慢雾フォームに情報を提出した被害者は既に 1,000 人を超え、ロングとの連携を続け、被害データを分析し続け、誤った報告を避けることを強調しています。 11月26日、DEXXの攻撃者はSolanaチェーン上のトークンをSOLに大量に交換し始めましたが、まだ転送されていません。
• **11月28日、**慢雾は、攻撃者に関連する8,612のソラナアドレスを公表し、EVMオンチェーンのデータをクリーニングおよび統計しました。
• **11 月 29 日，**攻撃者はソラナアドレス中のトークンをさらに SOL に交換し、EVM オンチェーンでのトークンを ETH に交換する操作をテストしました。
• **11月30日、**攻撃者はEVMチェーン（ETH/BSC/BASE）でトークンをETHとBNBに交換し、関連資産はまだ転出されていません。
• 12月5日、攻撃者はWormholeクロスチェーンインタラクションを使用して、一部のSolanaで盗まれた資金をETHアドレスに移動しました。現在、攻撃者のETHアドレスの残高は4,400.74ETHで、約17.25百万ドルの価値があります。Solanaアドレスには約150万ドルの残高があります。事件はまだ調査中です。

事後リマインダー：

1. ユーザーは秘密鍵のセキュリティに非常に注意を払い、定期的にウォレットとアカウントの活動をチェックし、異常な取引や資産の移動を早期に発見する必要があります。リアルタイムのプッシュ通知やスマートウォレットモニタリングツールを利用すると、迅速な対策を講じるのに役立ちます。
2. 資産が盗まれた場合は、適切な措置を講じて自身の権利を守り、事件に関連する動向を迅速に把握してください。

ポルターファイナンス

**プロジェクト概要：**Polter Financeは、FTM上の分散化された非管理型の貸借プラットフォームで、預金者に対して比例の利息収入を提供することを目的としています。

イベントの概要：

以下はPolter Financeのイベントタイムラインの整理です：

• 11月17日、Polter Financeは「静かな市場」の問題で攻撃を受け、およそ1200万ドルの損失が発生しました。【5】
• 11月18日、Polter Financeは、Fantomオンチェーンの暗号化資産が攻撃を受け、700万ドルを超える損失が発生したと報告しました。攻撃者は最初にEthereumチェーンでTornado Cashを利用して資金を入手し、それをFantomにブリッジしました。プラットフォームは脆弱性を制御するために一時的に停止し、関連するウォレットを追跡することを開始しました。関連するアドレスはBinanceに関連付けられていることが判明しました。プラットフォームのチームはまた、攻撃者が資金を返却する場合、法的措置を取らないと公表しています。 11月19日、Polter Financeの攻撃者は120ETHをTornado Cashに送金し、約870万ドルを失いました。 同時に、攻撃者は盗んだ1,150万FTM(約800万ドル)の資金をArbitrumとEthereumに一括で送金し始め、Tornado Cashに入金しました。 この時点で、攻撃者はイーサリアムアドレスに220ETH(約689,000ドル)を入金しました。 11月20日、Polter FinanceのハッカーがTornado Cashに資金を送金し、2,625.7ETHの送金に成功しました。 11月21日、Polter Financeハッカーはさらに2,600ETHをTornado Cashに送金しました。

事後リマインダー：

分散化プラットフォームを使用する際には、特にクロスチェーンインタラクション操作や分散型金融プロジェクトに関与する場合は、プラットフォームのセキュリティに注意し、警戒することをお勧めします。特に市場の変動が大きい場合には、プロジェクトチームは早急に脆弱性の検出とリスク管理を行い、プラットフォームのスマートコントラクトとクロスチェーンインタラクションブリッジの安全性を確保する必要があります。

デルタプライム

**プロジェクト概要：**DeltaPrimeは、流動性制約を解消するために資本効率を向上させることを目的とした、分散型の貸借および投資プラットフォームです。ユーザーは、このプラットフォームで簡単に預金や借入を行うことができ、分散型金融の投資能力を強化することができます。プラットフォームの最低担保率は20％です。

イベントの概要：

DeltaPrimeプロジェクトは9月にハッカー攻撃に遭いました。以下は完全な整理です:

• 9月16日、DeltaPrimeはARBオンチェーンで攻撃に遭い、管理者が秘密鍵を紛失した可能性があり、約450万ドルの暗号化資産が盗まれました。攻撃者はUSDCをETHに交換し、資金を持続的に移動させました。影響を受けた流動性プールには、DPUSDC、DPARB、DPBTCbが含まれます。【6】
• **9月17日、**ハッカーが約1200ETH（約280万ドル）を新しいアドレスに送り、盗まれた資金をETHネットワークにブリッジしてTornado Cashに入金しました。 11月11日、DeltaPrimeはARBとAVAXで再び攻撃を受け、約480万ドルの損失を被りました。 攻撃者はLFJとスターゲイトのUSDCファームを通じて流動性を高め、約130万ドルの損失を引き起こしました。

事後リマインダー：

DeFiプロジェクトや資産関連プラットフォームは、特に重要な機能（たとえば報酬受け取り機能など）で厳格な入力検証を行い、同様の攻撃を防止するためにセキュリティを強化する必要があります。01928374656574839201

メタウィン

**プロジェクトの概要：**MetaWinは、ブロックチェーン技術を基にしたオンチェーンの予測ゲームプラットフォームであり、ユーザーが参加できるさまざまなゲームを提供し、最大100万ドルの報酬が設定されています。

イベントの概要：

Metawin 暗号化博彩プラットフォームは2024年11月5日にハッカー攻撃に遭い、資産は400万ドルを超える損失を被った。ハッカーはETH、Base、そしてソラナのホットウォレットから資金を盗み、一部の盗品をKuCoin、HitBTC、Binance、ChangeNowに送金した。攻撃者は331 ETH（約80万ドル）を複数のウォレットに分散して送金し、それぞれの送金額は13、19、21 ETHだった。さらに、攻撃者に関連する115の盗難アドレスが発見され、これらの資金は現在も移動し続けている。【7】

事後リマインダー：

今回のMetawin攻撃事件は、ユーザーに暗号化プラットフォームを使用する際の警戒を促しています。特に、ホットウォレットやクロスチェーンの取引を行う際には、プラットフォームのセキュリティ対策が十分であることを確認してください。ユーザーは定期的にプラットフォームのセキュリティ公告をチェックし、不審なアドレスとのやり取りを避け、アカウントのセキュリティ設定（多要素認証の有効化など）を強化してリスクを軽減すべきです。同時に、プラットフォーム側はユーザー資産の保護を強化し、潜在的なセキュリティホールを早期に発見して対処することを確認すべきです。

まとめ

2024 年 11 月、複数の分散型金融プラットフォームがハッカーの攻撃を受け、数百万ドル相当の資産が盗まれました。これらの出来事は分散型金融プロジェクトの持続的なセキュリティリスクを浮き彫りにし、業界にセキュリティ対策と脆弱性修復への一層の注力を促しています。同時に、プラットフォームのセキュリティ脆弱性や資金の流動制御問題が再び注目を集め、革新と発展を追求する中で、ユーザーの資産の安全とプラットフォームの安定性を確保することが不可欠であることを強調しています。Gate.io はユーザーに市場参加に慎重になるよう呼びかけ、資金を保護するよう注意を促しています。

リソース：

1.スローミスト、

1. デューン、
2. X、
3. X、
4. X、
5. X、
6. テレ、

ゲート・インスティテュート gate研究所は、読者にデプスなテクニカル分析、ホットな洞察、市場のレビュー、業界の研究、トレンドの予測、マクロ経済政策分析などを提供する包括的なブロックチェーンと暗号資産の研究プラットフォームです。

链接をクリックしてすぐに移動します

免責事項 暗号資産市場投資は高いリスクを伴いますので、ユーザーは投資の決定をする前に独自の調査を行い、購入する資産や製品の性質を十分に理解することをお勧めします。Gate.ioはこのような投資の決定によって生じた損失や損害について責任を負いません。