2024 Web3 ブロックチェーンセキュリティ ランドスケープ 年次報告書
BitForexのハッキング、ラグプルイベント、ファンドロンダリングの傾向、プロジェクト監査の状況などの主要なインシデントをカバーする、詳細な2024年のWeb3ブロックチェーンセキュリティ分析。クロスチェーンマネーロンダリングの影響など、増大するセキュリティ上の課題を検証し、急速に進化するエコシステムでデジタル資産を保護する方法に関する洞察を提供します。
前書き
この調査レポートは、Blockchain Security Allianceによって開始され、そのメンバーであるBeosinとFootprint Analyticsが共同で作成しました。これは、2024年に世界のブロックチェーンセキュリティの状況を包括的に調査することを目的としています。このレポートは、世界中のブロックチェーンセキュリティの現状の分析と評価を通じて、今日直面しているセキュリティの課題と脅威を明らかにし、ソリューションとベストプラクティスを提供します。このレポートでは、Web3ブロックチェーンセキュリティのダイナミックな進化をより完全に理解することができます。これは、読者がブロックチェーン空間で直面しているセキュリティ上の課題を評価し、対処するのに役立ちます。さらに、このレポートは、セキュリティ対策と業界の発展動向に関する貴重な洞察を提供し、読者がこの新しい分野で十分な情報に基づいた意思決定と行動を行えるように支援します。ブロックチェーンのセキュリティと規制は、Web3時代の発展における重要な問題です。綿密な調査と議論を通じて、これらの課題をよりよく理解し、取り組み、ブロックチェーン技術のセキュリティと持続可能な開発を推進することができます。
1. 2024年のWeb3ブロックチェーンセキュリティの景色の概要
セキュリティ監査会社Beosinのアラートプラットフォームによるモニタリングによると、2024年のWeb3スペースにおけるハッカー攻撃、フィッシング詐欺、プロジェクトチームによるラグプルによる合計損失額は25.13億ドルに達しました。その中で、131件の大規模な攻撃事件があり、約17.92億ドルの損失が発生しました。プロジェクトチームによる68件のラグプル事件では、約1億4800万ドルの損失がありました。また、フィッシング詐欺による総損失額は約5億7400万ドルでした。
2024年、ハッカー攻撃とフィッシング詐欺の両方が2023年と比較して大幅に増加し、フィッシング詐欺は140.66%増加しました。プロジェクトチームによるラグプルの損失は顕著に減少し、約61.94%減少しました。
2024年、攻撃の影響を受けたプロジェクトの種類には、DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレット、決済プラットフォーム、ギャンブルプラットフォーム、暗号ブローカー、インフラ、パスワードマネージャー、開発ツール、MEVボット、TGボットなどが含まれていました。DeFiが最も頻繁に攻撃されたプロジェクトタイプで、DeFiに対する75回の攻撃が約3億9,000万ドルの総損失をもたらしました。CEXが最も高い総損失額を記録し、CEXに対する10回の攻撃が約7億2,400万ドルの損失をもたらしました。
2024年には、より多くのパブリックチェーンタイプで攻撃が発生し、異なるチェーン間で盗難を伴う複数のセキュリティインシデントが発生しました。イーサリアムは、イーサリアムに対する66回の攻撃により、約8億4,400万ドルの損失が発生し、その年の総損失の33.57%を占め、損失額が最も多いパブリックチェーンであり続けました。
攻撃手法の観点から見ると、35件の秘密鍵漏洩事件により約13.06億ドルの損失が発生し、総損失の51.96%を占め、最も被害を受けた攻撃手法となっています。
契約の脆弱性の悪用が最も頻繁な攻撃方法であり、131回の攻撃のうち76回が契約の脆弱性から発生し、合計の58.02%を占めています。
約5.31億ドルの盗まれた資金が回収され、全盗まれた資金の約21.13%を占めました。盗まれた資金の約1.09億ドルがミキサーに送金され、全盗まれた資金の約4.34%を占め、2023年に比べて約66.97%減少しました。
2. 2024年のトップ10のWeb3セキュリティインシデント
2024年、損失が1億ドルを超えた5つの主要な攻撃事件が発生しました:DMMビットコイン(3.04億ドル)、PlayDapp(2.9億ドル)、WazirX(2.35億ドル)、Gala Games(2.16億ドル)、Chris Larsenの盗難(1.12億ドル)。トップ10のセキュリティインシデントからの合計損失は約141.7億ドルで、年間攻撃損失の約79.07%を占めました。
No.1 DMMビットコイン
損失:$304百万
攻撃手法:プライベートキーの漏洩
2024年5月31日、日本の仮想通貨取引所DMM Bitcoinが攻撃され、3億4,000万ドル以上相当のBitcoinが盗まれました。ハッカーは盗まれた資金を10以上のアドレスに分散させ、それらを洗浄しようとしました。
No.2 PlayDapp
損失: $290 million
攻撃方法:秘密鍵の漏洩
2024年2月9日、ブロックチェーンゲームプラットフォームPlayDappは攻撃を受け、ハッカーが2,000,000,000 PLAトークン(価値3650万ドル)を生成しました。PlayDappとの交渉が失敗した後、2月12日にハッカーはさらに159,000,000,000 PLAトークン(価値2億5390万ドル)を生成し、一部の資金をgate取引所に送りました。その後、PlayDappはPLA契約を一時停止し、PLAトークンをPDAトークンに移行しました。
No.3 WazirX
損失額:$235百万
攻撃方法:ネットワーク攻撃とフィッシング
2024年7月18日、インドの仮想通貨取引所WazirXのマルチシグネチャウォレットが盗まれ、2億3,500万ドル以上の損失が発生しました。マルチシグネチャウォレットはセーフウォレットスマートコントラクトでした。攻撃者はマルチシグネチャ署名者をだましてアップグレードトランザクションに署名させ、アップグレードされたコントラクトを介して直接ウォレットから資産を転送しました。
No.4 ガラゲームズ
損失額:216百万ドル
攻撃方法:アクセス制御の脆弱性
2024年5月20日、Gala Gamesの特権アドレスが侵害されました。攻撃者はこのアドレスを使用してミント関数を呼び出し、約21.6億ドル相当のGALAトークンを直接ミントし、ミントされたトークンをバッチでETHに変換しました。Gala Gamesチームはその後、ブラックリスト機能を使用してハッカーをブロックし、損失を回復しました。
No.5 クリス・ラーセン(リップルの共同創設者)
損失額:$112百万
攻撃方法:秘密鍵の漏えい
2024年1月31日、リップル社の共同創業者であるクリス・ラーセン氏は、4つのウォレットが侵害され、合計約1億1,200万ドルの損失を被ったと報告しました。バイナンスのチームは、盗まれた420万ドル相当のXRPトークンの凍結に成功しました。
No.6 Munchables
損失金額:$62.5百万
攻撃方法:ソーシャルエンジニアリング攻撃
2024年3月26日、Blastに基づくWeb3ゲームプラットフォームMunchablesが攻撃を受け、約6250万ドルの損失が発生しました。プロジェクトが攻撃された理由は、北朝鮮のハッカーが開発者として雇用されていたためです。盗まれた資金は最終的にすべてハッカーによって返還されました。
No.7 BTCTurk
損失額:$55百万
攻撃手法:秘密鍵の漏洩
2024年6月22日、トルコの暗号通貨取引所BTCTurkが攻撃を受け、約5500万ドルの損失が発生しました。バイナンスは盗まれた資金の約530万ドルを凍結するのを手伝いました。
No.8 Radiant Capital
損失額: $53 million
攻撃手法:プライベートキー漏洩
2024年10月17日、マルチチェーン融資プロトコルRadiant Capitalが攻撃を受けました。攻撃者はRadiant Capitalのマルチシグネチャウォレットの3人のオーナーの権限を不正に取得しました。マルチシグネチャウォレットは3/11の署名検証モデルを採用しており、攻撃者はオフライン署名用の3つのプライベートキーを使用しました。その後、攻撃者はRadiant Capital契約の所有権を自分のコントラクトに移転するためのオンチェーン取引を開始し、これにより5300万ドル以上の損失が発生しました。
No.9 Hedgey Finance
損失額:$44.7百万
攻撃方法:契約の脆弱性
2024年4月19日、Hedgey Financeは攻撃者によって複数回攻撃を受けました。攻撃者はトークン承認の脆弱性を悪用して、ClaimCampaigns契約から多数のトークンを盗み出しました。これにはEthereumチェーンから2.1百万ドル以上の価値があるトークンやArbitrumチェーンから約42.6百万ドルの価値があるトークンが含まれています。
No.10 BingX
損失額:$44.7百万
攻撃手法:プライベートキーの漏洩
2024年9月19日、BingX取引所のホットウォレットが攻撃を受けました。BingXは資産の移動と出金の停止などの緊急措置を発動しましたが、Beosinの統計によると、ホットウォレットからの異常な資産流出による総損失は4470万ドルに達しました。盗まれた資産には、Ethereum、BNB Chain、Tron、Polygon、Avalanche、Baseなど、複数のブロックチェーンが含まれていました。
3. 攻撃されたプロジェクトの種類
2024年、攻撃されたプロジェクトの種類は、DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジなどの一般的なタイプだけでなく、支払いプラットフォーム、ギャンブルプラットフォーム、暗号通貨ブローカー、インフラストラクチャ、パスワードマネージャ、開発ツール、MEVボット、TGボット、さまざまな他のプロジェクトタイプまで広がっています。
2024年、DeFiプロジェクトの攻撃は75回発生し、最も頻繁に攻撃されるプロジェクトタイプとなりました(約50.70%)。DeFi攻撃による総損失は約3.9億ドルで、全損失の約15.50%を占め、損失額においては4番目に大きなプロジェクトタイプとなりました。
最も損失が大きかったプロジェクトタイプはCEX(中央集権取引所)でした。CEXに対する10回の攻撃で約7億2,400万ドルの損失が発生し、最も損失が大きいプロジェクトタイプとなりました。全体として、2024年には取引所が最も頻繁に攻撃されたプロジェクトタイプであり、取引所のセキュリティはWeb3エコシステムにおいて最大の課題となっています。
個人ウォレットからの2番目に大きな損失は約4億4500万ドルでした。 12回の暗号通貨の大口を標的とした攻撃と、数多くのフィッシングおよびソーシャルエンジニアリング攻撃により、2023年と比較して個人ウォレットからの総損失が464.72%増加しました。これにより、個人ウォレットのセキュリティは取引所のセキュリティに続く2番目に大きな課題となりました。
4. チェーンによる損失額
2023年と比較して、2024年に攻撃されたパブリックチェーンの種類はより多様化していました。損失額のトップ5チェーンはEthereum、Bitcoin、Arbitrum、Ripple、Blastでした。
攻撃イベントの数による上位6つのチェーンは次のとおりです:
Ethereum、BNBチェーン、Arbitrum、Others、Base、およびSolana。
2023年においても、Ethereumは最も損失額の多いチェーンとなりました。Ethereumへの攻撃は66回あり、約8億4400万ドルの損失をもたらし、年間総損失の33.59%を占めました。
注:全損失データにはオンチェーンのフィッシング損失や一部のCEXホットウォレットの損失は含まれていません。ビットコインネットワークの損失は2位で、1つのセキュリティインシデントにより2億3800万ドルの損失が発生しました。アービトラムは3位で、約1億1400万ドルの総損失です。
5. 攻撃手法分析
2024年の攻撃手法は非常に多様化していました。一般的な契約の脆弱性攻撃に加え、サプライチェーン攻撃、サードパーティーサービスプロバイダー攻撃、中間者攻撃、DNS攻撃、フロントエンド攻撃など、他のいくつかの手法も使用されました。
2024年には、35件の秘密鍵漏洩事件が発生し、総額13.06億ドルの損失をもたらし、総損失の51.96%を占め、最も被害の大きい攻撃手法となりました。注目すべき秘密鍵漏洩事件には、DMM Bitcoin(3.04億ドル)、PlayDapp(2.9億ドル)、リップル共同創設者クリス・ラーセン(1.12億ドル)、BTCTurk(5500万ドル)、Radiant Capital(5300万ドル)、BingX(4470万ドル)、DEXX(2,100万ドル)が含まれています。
契約の脆弱性の悪用が最も頻繁な攻撃方法でした。131件の攻撃事件のうち76件が契約の脆弱性に起因し、合計の58.02%を占めています。契約の脆弱性からの総損失額はおよそ3億2100万ドルであり、損失額のランキングで3位となっています。
特定の脆弱性に関して、最も頻繁で最も高額なインシデントは、ビジネスロジックの脆弱性によるものでした。契約の脆弱性からの損失の約53.95%はビジネスロジックの欠陥によるものであり、約1億5800万ドルの損失をもたらしました。
6. 反マネーロンダリング典型的なイベント分析
6.1ポルターファイナンスセキュリティインシデント
イベント概要
2024年11月17日、Beosin Alertモニタリングは、FTMチェーン上の貸借プロトコルであるPolter Financeに対する攻撃を検出しました。攻撃者はフラッシュローンを利用してプロジェクト契約内のトークン価格を操作し、利益を得ました。
脆弱性と資金の分析
攻撃されたLendingPool契約(0xd47ae558623638f676c1e38dad71b53054f54273)は、0x6808b5ce79d44e89883c5393b487c4296abb69feをオラクルとして使用しました。このオラクルは最近デプロイされた価格フィード契約(0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe)を利用しています。この価格フィード契約は、uniswapV2_pair(0xEc71)契約内のトークン準備金に基づいて価格を計算する契約であり、フラッシュローン攻撃に対して脆弱な契約です。
攻撃者はフラッシュローンを使用して$BOOトークンの価格を人工的に膨らませ、他の暗号資産を借りました。盗まれた資金はFTMトークンに変換され、ETHチェーンにクロスチェーンされ、すべての資金が保管されました。以下はARBおよびETHチェーンでの資金移動を示すフローダイアグラムです。
11月20日、攻撃者は以下の図に示すように、2,625 ETH以上をTornado Cashに転送し続けました。
6.2 BitForexセキュリティインシデント
イベント概要
2024年2月23日、有名なブロックチェーン調査者のZachXBTは、彼の分析ツールを通じて、BitForexのホットウォレットが5650万ドルの流出を経験し、プラットフォームはこのプロセス中に引き出しサービスを一時停止しました。
ファンド分析
Beosinのセキュリティチームは、Traceを使用してBitForexの事件の詳細な追跡と分析を行いました。
イーサリアム
2024年2月24日午前6時11分(UTC+8)に、BitForexは40,771 USDT、258,700 USDC、148.01 ETH、および471,405 TRBをEthereumの送信先アドレス(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)に送金しました。
8月9日、出口アドレスはTRB以外のすべてのトークンをBitForexのアカウント(0xcce7300829f49b8f2e4aee6123b12da64662a8b8)に送り返しました。
11 月 9 日から 11 月 10 日にかけて、出口アドレスは 7 つのトランザクションを通じて 355,000 TRB を 4 つの異なる OKX ユーザー アドレスに転送しました。
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
その後、出口アドレスは残りの116,414.93 TRBを中間アドレス(0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)に移し、それから2つのトランザクションに分割され、2つの異なるBinanceユーザーアドレスに送信されました:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB チェーン
2月24日、BitForexは166 ETH、46,905 USDT、および57,810 USDCをBNB Chainアドレス(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)に引き出しましたが、そこに残っています。
ポリゴン
2月24日、BitForexは99,000 MATIC、20,300 USDT、および1,700 USDCをPolygonチェーンアドレス(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)に引き出しました。
99,000 MATICのうち、8,000が8月9日にアドレス0xcce7300829f49b8f2e4aee6123b12da64662a8b8に送信され、そこに残っています。残りのUSDTとUSDCトークンも残っています。
TRON
2月24日、BitForexは44,000 TRXと657,698 USDTをTRONチェーンアドレス(TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o)に引き出しました。
8月9日、これらのトークンはすべてBitForexのユーザーアドレス(TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo)に返金されました。
ビットコイン
2月24日から、16のBitForexアドレスが合計5.7 BTCをBTCチェーンアドレス(3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2)に送金し始めました。
8月9日、5.7 BTC は完全に BitForex のアドレス (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz) に返金されました。
要約すると、2月24日にBitForexは40,771 USDT、258,700 USDC、148.01 ETH、および471,405 TRBをEthereumチェーンに転送しました。さらに、44,000 TRXと657,698 USDTをTRONチェーンに、5.7 BTCをBTCチェーンに、166 ETH、46,905 USDT、および57,810 USDCをBNBチェーンに、そして99,000 MATIC、20,300 USDT、および1,700 USDCをPolygonチェーンに送金しました。
8月9日、BTCチェーン、TRONチェーン、Ethereumチェーン(TRB以外)のすべてのトークンがBitForexに戻されました。11月9日と10日に、471,405 TRBが4つのOKXアカウントと2つのBinanceアカウントに移されました。
したがって、ETH、TRON、およびBTCチェーン上のすべてのトークンが転送され、BSCでは166 ETH、46,905 USDT、57,810 USDCが残っており、POLでは99,000 MATIC、20,300 USDT、1,700 USDCが残っています。
添付のTRB入金取引所アドレス:
7. 盗まれた資金の流れの分析
2024年には、約13.12億ドルの盗まれた資金のうち、ハッカーアドレスには(チェーン間で転送され、複数のアドレスに分散された資金を含む)52.20%が残っていました。昨年に比べ、今年はハッカーが複数のクロスチェーン取引を介して資金を洗浄し、盗まれた資産を直接ミキサーに使用するのではなく、多数のアドレスに分散させる傾向がありました。アドレスの増加と洗浄パスの複雑化は、プロジェクトチームや規制当局がこれらの活動を調査する際の難しさに繋がることは間違いありません。
約5億3100万ドル相当の盗まれた資金が回収され、約21.13%を占めていました。2023年には、回収された資金の額は約2億9500万ドルでした。
年間を通じて、約109百万ドルの盗まれた資金がミキサーに移され、全盗まれた資金の約4.34%を占めています。2022年8月に米国OFACがトルネードキャッシュを制裁した以来、トルネードキャッシュに移される盗まれた資金の額は大幅に減少しました。
プロジェクト監査状況の分析8.
131の攻撃事件のうち、42件は監査を受けていないプロジェクトが関与し、78件は監査を受けたプロジェクトが関与し、11件は監査の状況が不明でした。
監査されていない42のプロジェクトのうち、30件(約71.43%)が契約の脆弱性に関連していました。これは、監査のないプロジェクトは潜在的なセキュリティリスクを持つ可能性が高いことを示しています。対照的に、監査された78のプロジェクトのうち、49件(約62.82%)が契約の脆弱性に関連していました。これは、監査がある程度までプロジェクトのセキュリティを向上させることができることを示しています。
ただし、Web3市場に包括的な基準がないため、監査の品質は一様ではなく、結果はしばしば期待を下回ります。資産のセキュリティを効果的に保護するためには、プロジェクトが本番前に専門のセキュリティ企業に監査を依頼することをお勧めします。
9. ラグプル解析
2024年、Beosin AlertプラットフォームはWeb3エコシステムで合計68の主要なRug Pull事件を監視し、総額約1億4800万ドルの価値がありました。これは2023年の3億8800万ドルに比べて大幅な減少です。
価値の点で、68件のラグプル事件の中で、9つのプロジェクトが100万ドルを超える損失を被りました。これらは、エッセンスファイナンス(2000万ドル)、シドグローバル(240万ドル)、ETHTrustFund(220万ドル)、Nexera(180万ドル)、グランドベース(170万ドル)、SAGAトークン(160万ドル)、OrdiZK(140万ドル)、MangoFarmSOL(129万ドル)、RiskOnBlast(125万ドル)です。これら9つの事件の合計損失は3364万ドルで、全てのラグプル事件の損失の22.73%を占めています。
イーサリアムとBNBチェーン上のラグプルプロジェクトは合計の82.35%を占め、イーサリアムで24件、BNBチェーンで32件発生しました。さらに、Scrollで2,000万ドルを超える1件の事件が発生しました。他の公共のブロックチェーン、Polygon、BASE、Solanaも少数のラグプルイベントを経験しました。
10. 2024 Web3 ブロックチェーンセキュリティ状況の概要
2024年、Web3エコシステムにおけるオンチェーンのハッキング活動とラグプルのインシデントは、2023年に比べて大幅に減少しました。しかし、損失額は引き続き増加し、フィッシング攻撃はより横行しました。最も損失を引き起こす攻撃手法は、引き続き秘密鍵の漏洩です。この変化の主な理由は次のとおりです:
昨年の激しいハッカー活動の後、Web3エコシステム全体が2024年にはセキュリティに重点を置くようになりました。リアルタイムのオンチェーン監視、セキュリティ監査への注意の向上、過去の契約の脆弱性の悪用から積極的に学ぶなど、プロジェクトチームからセキュリティ企業まで、さまざまな側面で努力がなされています。これにより、昨年よりも契約の脆弱性を通じて資金を盗むことが困難になりました。ただし、プロジェクトチームはまだ秘密鍵管理や運用セキュリティの意識を強化する必要があります。
暗号市場と伝統的な市場の統合により、ハッカーはもはやDeFi、クロスチェーンブリッジ、取引所などへの攻撃に限定されることはありません。代わりに、支払いプラットフォーム、ギャンブルプラットフォーム、仮想通貨ブローカー、インフラストラクチャ、パスワードマネージャ、開発ツール、MEVボット、TGボットなど、さまざまなターゲットを狙うようになりました。
2024年から2025年にかけて、暗号通貨市場が牛市に入り、オンチェーン資金が活発化することで、ハッカーの攻撃が増加することが予想されます。さらに、暗号資産に関する地域規制が犯罪に対処するために徐々に改善されています。この傾向の中で、2025年もハッカー活動が高い水準で推移する見込みであり、世界の執法機関や規制機関は依然として厳しい課題に直面するでしょう。
免責事項:
- この記事は[から転載されていますFootprint ブロックチェーン分析]. 著作権は元の著者[Beosin、Footprint Analytics]に帰属します。転載に異議がある場合は、お問い合わせください。Gate Learnチーム、そしてチームは関連手続きに従ってできるだけ早く対処します。
- 免責事項: この記事に表現された見解や意見は、著者個人のものであり、投資アドバイスとは見なされません。
- ゲート・ラーン・チームは、記事を他の言語に翻訳しました。翻訳された記事のコピー、配布、または盗作は、言及されていない限り禁止されています。
関連記事
ETHを賭ける方法は?
ステーブルコインとは何ですか?
2024 Web3 ブロックチェーンセキュリティ ランドスケープ 年次報告書
1. 2024 Web3 ブロックチェーンセキュリティランドスケープ概要
2. 2024年のトップ10 Web3セキュリティインシデント
3. 攻撃されたプロジェクトの種類
4. チェーン別損失額
5. 攻撃方法の分析
6. 反マネーロンダリング典型的なイベント分析
7. 盗まれた資金の流れの分析
8. プロジェクト監査状況の分析
9. ラグプル分析
10. 2024 Web3 ブロックチェーンセキュリティ状況概要
前書き
この調査レポートは、Blockchain Security Allianceによって開始され、そのメンバーであるBeosinとFootprint Analyticsが共同で作成しました。これは、2024年に世界のブロックチェーンセキュリティの状況を包括的に調査することを目的としています。このレポートは、世界中のブロックチェーンセキュリティの現状の分析と評価を通じて、今日直面しているセキュリティの課題と脅威を明らかにし、ソリューションとベストプラクティスを提供します。このレポートでは、Web3ブロックチェーンセキュリティのダイナミックな進化をより完全に理解することができます。これは、読者がブロックチェーン空間で直面しているセキュリティ上の課題を評価し、対処するのに役立ちます。さらに、このレポートは、セキュリティ対策と業界の発展動向に関する貴重な洞察を提供し、読者がこの新しい分野で十分な情報に基づいた意思決定と行動を行えるように支援します。ブロックチェーンのセキュリティと規制は、Web3時代の発展における重要な問題です。綿密な調査と議論を通じて、これらの課題をよりよく理解し、取り組み、ブロックチェーン技術のセキュリティと持続可能な開発を推進することができます。
1. 2024年のWeb3ブロックチェーンセキュリティの景色の概要
セキュリティ監査会社Beosinのアラートプラットフォームによるモニタリングによると、2024年のWeb3スペースにおけるハッカー攻撃、フィッシング詐欺、プロジェクトチームによるラグプルによる合計損失額は25.13億ドルに達しました。その中で、131件の大規模な攻撃事件があり、約17.92億ドルの損失が発生しました。プロジェクトチームによる68件のラグプル事件では、約1億4800万ドルの損失がありました。また、フィッシング詐欺による総損失額は約5億7400万ドルでした。
2024年、ハッカー攻撃とフィッシング詐欺の両方が2023年と比較して大幅に増加し、フィッシング詐欺は140.66%増加しました。プロジェクトチームによるラグプルの損失は顕著に減少し、約61.94%減少しました。
2024年、攻撃の影響を受けたプロジェクトの種類には、DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレット、決済プラットフォーム、ギャンブルプラットフォーム、暗号ブローカー、インフラ、パスワードマネージャー、開発ツール、MEVボット、TGボットなどが含まれていました。DeFiが最も頻繁に攻撃されたプロジェクトタイプで、DeFiに対する75回の攻撃が約3億9,000万ドルの総損失をもたらしました。CEXが最も高い総損失額を記録し、CEXに対する10回の攻撃が約7億2,400万ドルの損失をもたらしました。
2024年には、より多くのパブリックチェーンタイプで攻撃が発生し、異なるチェーン間で盗難を伴う複数のセキュリティインシデントが発生しました。イーサリアムは、イーサリアムに対する66回の攻撃により、約8億4,400万ドルの損失が発生し、その年の総損失の33.57%を占め、損失額が最も多いパブリックチェーンであり続けました。
攻撃手法の観点から見ると、35件の秘密鍵漏洩事件により約13.06億ドルの損失が発生し、総損失の51.96%を占め、最も被害を受けた攻撃手法となっています。
契約の脆弱性の悪用が最も頻繁な攻撃方法であり、131回の攻撃のうち76回が契約の脆弱性から発生し、合計の58.02%を占めています。
約5.31億ドルの盗まれた資金が回収され、全盗まれた資金の約21.13%を占めました。盗まれた資金の約1.09億ドルがミキサーに送金され、全盗まれた資金の約4.34%を占め、2023年に比べて約66.97%減少しました。
2. 2024年のトップ10のWeb3セキュリティインシデント
2024年、損失が1億ドルを超えた5つの主要な攻撃事件が発生しました:DMMビットコイン(3.04億ドル)、PlayDapp(2.9億ドル)、WazirX(2.35億ドル)、Gala Games(2.16億ドル)、Chris Larsenの盗難(1.12億ドル)。トップ10のセキュリティインシデントからの合計損失は約141.7億ドルで、年間攻撃損失の約79.07%を占めました。
No.1 DMMビットコイン
損失:$304百万
攻撃手法:プライベートキーの漏洩
2024年5月31日、日本の仮想通貨取引所DMM Bitcoinが攻撃され、3億4,000万ドル以上相当のBitcoinが盗まれました。ハッカーは盗まれた資金を10以上のアドレスに分散させ、それらを洗浄しようとしました。
No.2 PlayDapp
損失: $290 million
攻撃方法:秘密鍵の漏洩
2024年2月9日、ブロックチェーンゲームプラットフォームPlayDappは攻撃を受け、ハッカーが2,000,000,000 PLAトークン(価値3650万ドル)を生成しました。PlayDappとの交渉が失敗した後、2月12日にハッカーはさらに159,000,000,000 PLAトークン(価値2億5390万ドル)を生成し、一部の資金をgate取引所に送りました。その後、PlayDappはPLA契約を一時停止し、PLAトークンをPDAトークンに移行しました。
No.3 WazirX
損失額:$235百万
攻撃方法:ネットワーク攻撃とフィッシング
2024年7月18日、インドの仮想通貨取引所WazirXのマルチシグネチャウォレットが盗まれ、2億3,500万ドル以上の損失が発生しました。マルチシグネチャウォレットはセーフウォレットスマートコントラクトでした。攻撃者はマルチシグネチャ署名者をだましてアップグレードトランザクションに署名させ、アップグレードされたコントラクトを介して直接ウォレットから資産を転送しました。
No.4 ガラゲームズ
損失額:216百万ドル
攻撃方法:アクセス制御の脆弱性
2024年5月20日、Gala Gamesの特権アドレスが侵害されました。攻撃者はこのアドレスを使用してミント関数を呼び出し、約21.6億ドル相当のGALAトークンを直接ミントし、ミントされたトークンをバッチでETHに変換しました。Gala Gamesチームはその後、ブラックリスト機能を使用してハッカーをブロックし、損失を回復しました。
No.5 クリス・ラーセン(リップルの共同創設者)
損失額:$112百万
攻撃方法:秘密鍵の漏えい
2024年1月31日、リップル社の共同創業者であるクリス・ラーセン氏は、4つのウォレットが侵害され、合計約1億1,200万ドルの損失を被ったと報告しました。バイナンスのチームは、盗まれた420万ドル相当のXRPトークンの凍結に成功しました。
No.6 Munchables
損失金額:$62.5百万
攻撃方法:ソーシャルエンジニアリング攻撃
2024年3月26日、Blastに基づくWeb3ゲームプラットフォームMunchablesが攻撃を受け、約6250万ドルの損失が発生しました。プロジェクトが攻撃された理由は、北朝鮮のハッカーが開発者として雇用されていたためです。盗まれた資金は最終的にすべてハッカーによって返還されました。
No.7 BTCTurk
損失額:$55百万
攻撃手法:秘密鍵の漏洩
2024年6月22日、トルコの暗号通貨取引所BTCTurkが攻撃を受け、約5500万ドルの損失が発生しました。バイナンスは盗まれた資金の約530万ドルを凍結するのを手伝いました。
No.8 Radiant Capital
損失額: $53 million
攻撃手法:プライベートキー漏洩
2024年10月17日、マルチチェーン融資プロトコルRadiant Capitalが攻撃を受けました。攻撃者はRadiant Capitalのマルチシグネチャウォレットの3人のオーナーの権限を不正に取得しました。マルチシグネチャウォレットは3/11の署名検証モデルを採用しており、攻撃者はオフライン署名用の3つのプライベートキーを使用しました。その後、攻撃者はRadiant Capital契約の所有権を自分のコントラクトに移転するためのオンチェーン取引を開始し、これにより5300万ドル以上の損失が発生しました。
No.9 Hedgey Finance
損失額:$44.7百万
攻撃方法:契約の脆弱性
2024年4月19日、Hedgey Financeは攻撃者によって複数回攻撃を受けました。攻撃者はトークン承認の脆弱性を悪用して、ClaimCampaigns契約から多数のトークンを盗み出しました。これにはEthereumチェーンから2.1百万ドル以上の価値があるトークンやArbitrumチェーンから約42.6百万ドルの価値があるトークンが含まれています。
No.10 BingX
損失額:$44.7百万
攻撃手法:プライベートキーの漏洩
2024年9月19日、BingX取引所のホットウォレットが攻撃を受けました。BingXは資産の移動と出金の停止などの緊急措置を発動しましたが、Beosinの統計によると、ホットウォレットからの異常な資産流出による総損失は4470万ドルに達しました。盗まれた資産には、Ethereum、BNB Chain、Tron、Polygon、Avalanche、Baseなど、複数のブロックチェーンが含まれていました。
3. 攻撃されたプロジェクトの種類
2024年、攻撃されたプロジェクトの種類は、DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジなどの一般的なタイプだけでなく、支払いプラットフォーム、ギャンブルプラットフォーム、暗号通貨ブローカー、インフラストラクチャ、パスワードマネージャ、開発ツール、MEVボット、TGボット、さまざまな他のプロジェクトタイプまで広がっています。
2024年、DeFiプロジェクトの攻撃は75回発生し、最も頻繁に攻撃されるプロジェクトタイプとなりました(約50.70%)。DeFi攻撃による総損失は約3.9億ドルで、全損失の約15.50%を占め、損失額においては4番目に大きなプロジェクトタイプとなりました。
最も損失が大きかったプロジェクトタイプはCEX(中央集権取引所)でした。CEXに対する10回の攻撃で約7億2,400万ドルの損失が発生し、最も損失が大きいプロジェクトタイプとなりました。全体として、2024年には取引所が最も頻繁に攻撃されたプロジェクトタイプであり、取引所のセキュリティはWeb3エコシステムにおいて最大の課題となっています。
個人ウォレットからの2番目に大きな損失は約4億4500万ドルでした。 12回の暗号通貨の大口を標的とした攻撃と、数多くのフィッシングおよびソーシャルエンジニアリング攻撃により、2023年と比較して個人ウォレットからの総損失が464.72%増加しました。これにより、個人ウォレットのセキュリティは取引所のセキュリティに続く2番目に大きな課題となりました。
4. チェーンによる損失額
2023年と比較して、2024年に攻撃されたパブリックチェーンの種類はより多様化していました。損失額のトップ5チェーンはEthereum、Bitcoin、Arbitrum、Ripple、Blastでした。
攻撃イベントの数による上位6つのチェーンは次のとおりです:
Ethereum、BNBチェーン、Arbitrum、Others、Base、およびSolana。
2023年においても、Ethereumは最も損失額の多いチェーンとなりました。Ethereumへの攻撃は66回あり、約8億4400万ドルの損失をもたらし、年間総損失の33.59%を占めました。
注:全損失データにはオンチェーンのフィッシング損失や一部のCEXホットウォレットの損失は含まれていません。ビットコインネットワークの損失は2位で、1つのセキュリティインシデントにより2億3800万ドルの損失が発生しました。アービトラムは3位で、約1億1400万ドルの総損失です。
5. 攻撃手法分析
2024年の攻撃手法は非常に多様化していました。一般的な契約の脆弱性攻撃に加え、サプライチェーン攻撃、サードパーティーサービスプロバイダー攻撃、中間者攻撃、DNS攻撃、フロントエンド攻撃など、他のいくつかの手法も使用されました。
2024年には、35件の秘密鍵漏洩事件が発生し、総額13.06億ドルの損失をもたらし、総損失の51.96%を占め、最も被害の大きい攻撃手法となりました。注目すべき秘密鍵漏洩事件には、DMM Bitcoin(3.04億ドル)、PlayDapp(2.9億ドル)、リップル共同創設者クリス・ラーセン(1.12億ドル)、BTCTurk(5500万ドル)、Radiant Capital(5300万ドル)、BingX(4470万ドル)、DEXX(2,100万ドル)が含まれています。
契約の脆弱性の悪用が最も頻繁な攻撃方法でした。131件の攻撃事件のうち76件が契約の脆弱性に起因し、合計の58.02%を占めています。契約の脆弱性からの総損失額はおよそ3億2100万ドルであり、損失額のランキングで3位となっています。
特定の脆弱性に関して、最も頻繁で最も高額なインシデントは、ビジネスロジックの脆弱性によるものでした。契約の脆弱性からの損失の約53.95%はビジネスロジックの欠陥によるものであり、約1億5800万ドルの損失をもたらしました。
6. 反マネーロンダリング典型的なイベント分析
6.1ポルターファイナンスセキュリティインシデント
イベント概要
2024年11月17日、Beosin Alertモニタリングは、FTMチェーン上の貸借プロトコルであるPolter Financeに対する攻撃を検出しました。攻撃者はフラッシュローンを利用してプロジェクト契約内のトークン価格を操作し、利益を得ました。
脆弱性と資金の分析
攻撃されたLendingPool契約(0xd47ae558623638f676c1e38dad71b53054f54273)は、0x6808b5ce79d44e89883c5393b487c4296abb69feをオラクルとして使用しました。このオラクルは最近デプロイされた価格フィード契約(0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe)を利用しています。この価格フィード契約は、uniswapV2_pair(0xEc71)契約内のトークン準備金に基づいて価格を計算する契約であり、フラッシュローン攻撃に対して脆弱な契約です。
攻撃者はフラッシュローンを使用して$BOOトークンの価格を人工的に膨らませ、他の暗号資産を借りました。盗まれた資金はFTMトークンに変換され、ETHチェーンにクロスチェーンされ、すべての資金が保管されました。以下はARBおよびETHチェーンでの資金移動を示すフローダイアグラムです。
11月20日、攻撃者は以下の図に示すように、2,625 ETH以上をTornado Cashに転送し続けました。
6.2 BitForexセキュリティインシデント
イベント概要
2024年2月23日、有名なブロックチェーン調査者のZachXBTは、彼の分析ツールを通じて、BitForexのホットウォレットが5650万ドルの流出を経験し、プラットフォームはこのプロセス中に引き出しサービスを一時停止しました。
ファンド分析
Beosinのセキュリティチームは、Traceを使用してBitForexの事件の詳細な追跡と分析を行いました。
イーサリアム
2024年2月24日午前6時11分(UTC+8)に、BitForexは40,771 USDT、258,700 USDC、148.01 ETH、および471,405 TRBをEthereumの送信先アドレス(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)に送金しました。
8月9日、出口アドレスはTRB以外のすべてのトークンをBitForexのアカウント(0xcce7300829f49b8f2e4aee6123b12da64662a8b8)に送り返しました。
11 月 9 日から 11 月 10 日にかけて、出口アドレスは 7 つのトランザクションを通じて 355,000 TRB を 4 つの異なる OKX ユーザー アドレスに転送しました。
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
その後、出口アドレスは残りの116,414.93 TRBを中間アドレス(0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)に移し、それから2つのトランザクションに分割され、2つの異なるBinanceユーザーアドレスに送信されました:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB チェーン
2月24日、BitForexは166 ETH、46,905 USDT、および57,810 USDCをBNB Chainアドレス(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)に引き出しましたが、そこに残っています。
ポリゴン
2月24日、BitForexは99,000 MATIC、20,300 USDT、および1,700 USDCをPolygonチェーンアドレス(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)に引き出しました。
99,000 MATICのうち、8,000が8月9日にアドレス0xcce7300829f49b8f2e4aee6123b12da64662a8b8に送信され、そこに残っています。残りのUSDTとUSDCトークンも残っています。
TRON
2月24日、BitForexは44,000 TRXと657,698 USDTをTRONチェーンアドレス(TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o)に引き出しました。
8月9日、これらのトークンはすべてBitForexのユーザーアドレス(TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo)に返金されました。
ビットコイン
2月24日から、16のBitForexアドレスが合計5.7 BTCをBTCチェーンアドレス(3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2)に送金し始めました。
8月9日、5.7 BTC は完全に BitForex のアドレス (11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz) に返金されました。
要約すると、2月24日にBitForexは40,771 USDT、258,700 USDC、148.01 ETH、および471,405 TRBをEthereumチェーンに転送しました。さらに、44,000 TRXと657,698 USDTをTRONチェーンに、5.7 BTCをBTCチェーンに、166 ETH、46,905 USDT、および57,810 USDCをBNBチェーンに、そして99,000 MATIC、20,300 USDT、および1,700 USDCをPolygonチェーンに送金しました。
8月9日、BTCチェーン、TRONチェーン、Ethereumチェーン(TRB以外)のすべてのトークンがBitForexに戻されました。11月9日と10日に、471,405 TRBが4つのOKXアカウントと2つのBinanceアカウントに移されました。
したがって、ETH、TRON、およびBTCチェーン上のすべてのトークンが転送され、BSCでは166 ETH、46,905 USDT、57,810 USDCが残っており、POLでは99,000 MATIC、20,300 USDT、1,700 USDCが残っています。
添付のTRB入金取引所アドレス:
7. 盗まれた資金の流れの分析
2024年には、約13.12億ドルの盗まれた資金のうち、ハッカーアドレスには(チェーン間で転送され、複数のアドレスに分散された資金を含む)52.20%が残っていました。昨年に比べ、今年はハッカーが複数のクロスチェーン取引を介して資金を洗浄し、盗まれた資産を直接ミキサーに使用するのではなく、多数のアドレスに分散させる傾向がありました。アドレスの増加と洗浄パスの複雑化は、プロジェクトチームや規制当局がこれらの活動を調査する際の難しさに繋がることは間違いありません。
約5億3100万ドル相当の盗まれた資金が回収され、約21.13%を占めていました。2023年には、回収された資金の額は約2億9500万ドルでした。
年間を通じて、約109百万ドルの盗まれた資金がミキサーに移され、全盗まれた資金の約4.34%を占めています。2022年8月に米国OFACがトルネードキャッシュを制裁した以来、トルネードキャッシュに移される盗まれた資金の額は大幅に減少しました。
プロジェクト監査状況の分析8.
131の攻撃事件のうち、42件は監査を受けていないプロジェクトが関与し、78件は監査を受けたプロジェクトが関与し、11件は監査の状況が不明でした。
監査されていない42のプロジェクトのうち、30件(約71.43%)が契約の脆弱性に関連していました。これは、監査のないプロジェクトは潜在的なセキュリティリスクを持つ可能性が高いことを示しています。対照的に、監査された78のプロジェクトのうち、49件(約62.82%)が契約の脆弱性に関連していました。これは、監査がある程度までプロジェクトのセキュリティを向上させることができることを示しています。
ただし、Web3市場に包括的な基準がないため、監査の品質は一様ではなく、結果はしばしば期待を下回ります。資産のセキュリティを効果的に保護するためには、プロジェクトが本番前に専門のセキュリティ企業に監査を依頼することをお勧めします。
9. ラグプル解析
2024年、Beosin AlertプラットフォームはWeb3エコシステムで合計68の主要なRug Pull事件を監視し、総額約1億4800万ドルの価値がありました。これは2023年の3億8800万ドルに比べて大幅な減少です。
価値の点で、68件のラグプル事件の中で、9つのプロジェクトが100万ドルを超える損失を被りました。これらは、エッセンスファイナンス(2000万ドル)、シドグローバル(240万ドル)、ETHTrustFund(220万ドル)、Nexera(180万ドル)、グランドベース(170万ドル)、SAGAトークン(160万ドル)、OrdiZK(140万ドル)、MangoFarmSOL(129万ドル)、RiskOnBlast(125万ドル)です。これら9つの事件の合計損失は3364万ドルで、全てのラグプル事件の損失の22.73%を占めています。
イーサリアムとBNBチェーン上のラグプルプロジェクトは合計の82.35%を占め、イーサリアムで24件、BNBチェーンで32件発生しました。さらに、Scrollで2,000万ドルを超える1件の事件が発生しました。他の公共のブロックチェーン、Polygon、BASE、Solanaも少数のラグプルイベントを経験しました。
10. 2024 Web3 ブロックチェーンセキュリティ状況の概要
2024年、Web3エコシステムにおけるオンチェーンのハッキング活動とラグプルのインシデントは、2023年に比べて大幅に減少しました。しかし、損失額は引き続き増加し、フィッシング攻撃はより横行しました。最も損失を引き起こす攻撃手法は、引き続き秘密鍵の漏洩です。この変化の主な理由は次のとおりです:
昨年の激しいハッカー活動の後、Web3エコシステム全体が2024年にはセキュリティに重点を置くようになりました。リアルタイムのオンチェーン監視、セキュリティ監査への注意の向上、過去の契約の脆弱性の悪用から積極的に学ぶなど、プロジェクトチームからセキュリティ企業まで、さまざまな側面で努力がなされています。これにより、昨年よりも契約の脆弱性を通じて資金を盗むことが困難になりました。ただし、プロジェクトチームはまだ秘密鍵管理や運用セキュリティの意識を強化する必要があります。
暗号市場と伝統的な市場の統合により、ハッカーはもはやDeFi、クロスチェーンブリッジ、取引所などへの攻撃に限定されることはありません。代わりに、支払いプラットフォーム、ギャンブルプラットフォーム、仮想通貨ブローカー、インフラストラクチャ、パスワードマネージャ、開発ツール、MEVボット、TGボットなど、さまざまなターゲットを狙うようになりました。
2024年から2025年にかけて、暗号通貨市場が牛市に入り、オンチェーン資金が活発化することで、ハッカーの攻撃が増加することが予想されます。さらに、暗号資産に関する地域規制が犯罪に対処するために徐々に改善されています。この傾向の中で、2025年もハッカー活動が高い水準で推移する見込みであり、世界の執法機関や規制機関は依然として厳しい課題に直面するでしょう。
免責事項:
- この記事は[から転載されていますFootprint ブロックチェーン分析]. 著作権は元の著者[Beosin、Footprint Analytics]に帰属します。転載に異議がある場合は、お問い合わせください。Gate Learnチーム、そしてチームは関連手続きに従ってできるだけ早く対処します。
- 免責事項: この記事に表現された見解や意見は、著者個人のものであり、投資アドバイスとは見なされません。
- ゲート・ラーン・チームは、記事を他の言語に翻訳しました。翻訳された記事のコピー、配布、または盗作は、言及されていない限り禁止されています。
関連記事
ETHを賭ける方法は?
ステーブルコインとは何ですか?