序文
この調査レポートは、Blockchain Security Alliance によって開始され、同盟メンバーの Beosin と Footprint Analytics が共同作成したもので、2024 年の世界のブロックチェーン セキュリティ状況の発展を包括的に調査することを目的としています。このレポートは、世界的なブロックチェーンセキュリティの現状の分析と評価を通じて、現在のセキュリティの課題と脅威を明らかにし、解決策とベストプラクティスを提供します。
このレポートを通じて、読者は Web3 ブロックチェーンのセキュリティ体制の動的な進化をより包括的に理解できるようになります。これは、読者がブロックチェーン空間が直面しているセキュリティ上の課題を評価し、対処するのに役立ちます。さらに、読者はレポートからセキュリティ対策や業界発展の方向性に関する有用な提案を得ることができ、この新興分野で十分な情報に基づいた意思決定や行動を行うのに役立ちます。ブロックチェーンのセキュリティと監視は、Web3 時代の発展にとって重要な問題です。綿密な調査と議論を通じて、これらの課題をよりよく理解して対応し、ブロックチェーン技術のセキュリティと持続可能な開発を促進することができます。
1. 2024年のWeb3ブロックチェーンセキュリティ情勢の概要
セキュリティ監査会社 Beosin の Alert プラットフォームによる監視によると、 2024 年に Web3 分野におけるハッカー攻撃、フィッシング詐欺、プロジェクト関係者のラグ プルによって引き起こされた損失総額は 25 億 1,300 万米ドルに達しました。このうち、大規模な攻撃事件は 131 件、損失総額は約 17 億 9,200 万米ドル、プロジェクト関係者が関与したラグ プル事件は 68 件、損失総額は約 1 億 4,800 万米ドル、フィッシング詐欺事件は総額約 5 億 7,400 万米ドルでした。百万。
2024 年には、ハッカー攻撃とフィッシング詐欺の量が 2023 年と比べて大幅に増加し、フィッシング詐欺は 2023 年と比較して 140.66% 増加すると予想されます。 Rug Pull 事件でプロジェクト関係者が被った損失額は、約 61.94% と大幅に減少しました。
2024 年に攻撃されるプロジェクトの種類には、DeFi、CEX、DEX、パブリック チェーン、クロスチェーン ブリッジ、ウォレット、決済プラットフォーム、ギャンブル プラットフォーム、暗号ブローカー、インフラストラクチャ、パスワード マネージャー、開発ツール、MEV ロボット、TG ロボットなどが含まれます。 。 DeFi は最も頻繁に攻撃されるプロジェクトの種類であり、 DeFi に対する 75 件の攻撃により、総額約 3 億 9,000 万米ドルの損失が発生しました。 CEX は、合計損失が最も大きいプロジェクト タイプであり、CEX に対する 10 件の攻撃により、合計約 7 億 2,400 万米ドルの損失が発生しました。
2024 年には攻撃を受けるパブリック チェーンの種類が増加し、複数のチェーンで盗難を伴うセキュリティ インシデントが多数発生すると予想されます。イーサリアムに対する 66 件の攻撃により、年間損失総額の 33.57% に相当する約 8 億 4,400 万米ドルの損失が発生したパブリック チェーンは依然としてイーサリアムです。
攻撃手法の観点から見ると、 35件の秘密鍵漏洩により総額約13億600万ドルの損失が発生し、損失総額の51.96%を占めた。最も多くの損失を引き起こした攻撃手法である。
契約上の脆弱性の悪用が最も頻繁に行われる攻撃方法であり、 131 件の攻撃のうち 76 件が契約上の脆弱性の悪用によるもので、58.02% を占めました。
年間を通じて盗まれた資金のうち約 5 億 3,100 万米ドルが回収され、これは約 21.13% を占めました。年間を通じて盗難資金のうち約1億900万米ドルがコインミキサーに送金され、盗難資金総額の約4.34%を占め、2023年と比較して約66.97%減少した。
2. 2024 年の Web3 エコシステムにおけるセキュリティ インシデント トップ 10
2024 年には、DMM Bitcoin (3 億 400 万米ドル)、PlayDapp (2 億 9,000 万米ドル)、WazirX (2 億 3,500 万米ドル)、Gala Games (2 億 1,600 万米ドル)、および Chris Larsen の盗難 (米国) の 5 件の攻撃があり、被害額は 1 億米ドルを超えました。 1億1,200万ドル)ドル)。上位 10 位のセキュリティ インシデントによる損失総額は約 14 億 1,700 万米ドルで、年間攻撃インシデント総額の約 79.07% を占めました。
No.1DMMビットコイン
損失: 3 億 400 万ドル
攻撃手法:秘密鍵漏洩
2024年5月31日、日本の仮想通貨取引所DMM Bitcoinが攻撃され、3億ドル以上相当のビットコインが盗まれた。ハッカーは、盗んだ資金をクリーンアップするために 10 を超えるアドレスに分散させました。
No.2 プレイダップ
損失: 2 億 9,000 万ドル
攻撃手法:秘密鍵漏洩
2024 年 2 月 9 日、ブロックチェーン ゲーム プラットフォーム PlayDapp が攻撃され、ハッカーは 3,650 万ドル相当の 20 億 PLA トークンを鋳造しました。 PlayDappとの交渉が失敗した後、2月12日、ハッカーは2億5,390万ドル相当の159億PLAトークンを追加で鋳造し、資金の一部をゲート取引所に送金した。その後、PlayDapp プロジェクト チームは PLA 契約を一時停止し、PLA トークンを PDA トークンに移行しました。
No.3 ワジルX
損失額:2億3,500万ドル
攻撃手法:ネットワーク攻撃とフィッシング
2024年7月18日、インドの仮想通貨取引所WazirXのマルチシグウォレットから2億3000万ドル以上が盗まれた。このマルチシグネチャ ウォレットは、Safe ウォレット スマート コントラクト ウォレットです。攻撃者は、複数署名の署名者に契約のアップグレード トランザクションに署名するよう誘導し、アップグレードされた契約を通じてウォレット内の資産を直接転送し、最終的に 2 億 3,000 万米ドルを超えるすべての資産を流出させました。
第4回 ガラゲームズ
損失: 2 億 1,600 万ドル
攻撃手法:アクセス制御の脆弱性
2024 年 5 月 20 日、Gala Games の特権アドレスが制御され、攻撃者はそのアドレスを通じてトークンのミント機能を呼び出し、約 2 億 1,600 万ドル相当の GALA トークンを直接鋳造し、追加のトークンを一括発行しました。 ETHに交換します。その後、Gala Games チームはブラックリスト機能を使用してハッカーを阻止し、損失を取り戻しました。
No.5 クリス・ラーセン(リップル共同創設者)
損失額:1億1,200万ドル
攻撃手法:秘密鍵漏洩
2024年1月31日、リップルの共同創設者クリス・ラーセン氏は、自身のウォレットのうち4つが侵害され、総額約1億1,200万ドルの損失が発生したと発表した。 Binance チームは、盗まれた 420 万ドル相当の XRP トークンの凍結に成功しました。
No.6 マンチャブル
損失額:6,250万ドル
攻撃手法:ソーシャルエンジニアリング攻撃
2024 年 3 月 26 日、Blast をベースとした Web3 ゲーム プラットフォームである Munchables が攻撃を受け、約 6,250 万米ドルの損失を被りました。このプロジェクトが攻撃されたのは、北朝鮮のハッカーが開発者として雇われていたためだ。盗まれた資金はすべて最終的にハッカーによって返還されました。
No.7 BTCトルコ
損失額:5,500万ドル
攻撃手法:秘密鍵漏洩
2024年6月22日、トルコの仮想通貨取引所BTCTurkが攻撃され、約5500万ドルの損失が発生した。バイナンスは、530万ドル以上の盗まれた資金の凍結に貢献しました。
No.8 レディアントキャピタル
損失額:5,300万ドル
攻撃手法:秘密鍵漏洩
2024 年 10 月 17 日、マルチチェーン融資プロトコル Radiant Capital が攻撃され、攻撃者は Radiant Capital マルチシグネチャ ウォレット内の 3 人の所有者の許可を不法に取得しました。マルチ署名ウォレットは 3/11 署名検証モードを採用しているため、攻撃者はこれら 3 つの秘密鍵を使用してオフチェーン署名を実行し、オンチェーン トランザクションを開始して Radiant Capital コントラクトの所有権を悪意のあるコントラクトに譲渡します。攻撃者によって制御され、5,300 万ドル以上の損失が発生しました。
第9位 ヘッジファイナンス
損失額:4,470万ドル
攻撃方法:契約の脆弱性
2024 年 4 月 19 日、Hedgey Finance は攻撃者によって複数回攻撃されました。攻撃者はトークン承認の脆弱性を悪用して、ClaimCampaigns コントラクト内の大量のトークンを盗みました。イーサリアム チェーンから盗まれたトークンは 210 万ドル以上の価値があり、Arbitrum チェーンから盗まれたトークンは約 4,260 万ドルの価値がありました。
No.10 ビングエックス
損失額:4,470万ドル
攻撃手法:秘密鍵漏洩
2024 年 9 月 19 日、BingX Exchange ホット ウォレットがハッキングされました。 BingXは資産の緊急移転や出金停止などの緊急計画を打ち出したが、Beosin統計によると、ホットウォレットの異常流出による資産損失総額は4,470万米ドルに上り、盗まれた資産にはイーサリアムが関与しており、 BNB Chain、Tron、Polygon、Avalanche、Base 複数のブロックチェーンを待機します。
3. 攻撃されているプロジェクトの種類
DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレットなどの一般的なタイプに加えて、2024年に攻撃されるプロジェクトのタイプは、決済プラットフォーム、ギャンブルプラットフォーム、暗号化ブローカー、インフラストラクチャ、パスワードにも出現すると予想されます。マネージャー、開発ツール、MEV ロボット、TG ロボット、その他のプロジェクト タイプ。
2024 年には DeFi プロジェクトに対する攻撃が 75 件あり、最も多くの攻撃があったプロジェクトの種類 (約 50.70%) となりました。 DeFi攻撃による損失総額は約3億9,000万米ドルで、全損失の約15.50%を占め、損失額が4番目に大きいプロジェクトタイプとなっている。
損失額で1位となったのはCEX(集中取引所)で、10件の攻撃で総額約7億2,400万ドルの損失が発生し、最も損失額が大きいプロジェクトとなった。まとめると、2024 年には取引所の種類ごとにセキュリティ インシデントが頻繁に発生することになり、取引所のセキュリティは引き続き Web3 エコシステムにとって最大の課題となります。
2 番目に大きな損失は個人の財布からのもので、損失総額は約 4 億 4,500 万米ドルでした。仮想通貨クジラに対する12件の攻撃と、一般ユーザーに対する多数のフィッシング攻撃やソーシャルエンジニアリング攻撃により、個人ウォレットの損失総額は2023年と比較して464.72%急増し、取引所のセキュリティに次いで2番目に大きな課題となっている。
4. 各チェーンの損失額
2023 年と比較して、2024 年に攻撃が発生したパブリック チェーンの種類もより広範囲にわたっています。損失額の上位 5 つはイーサリアム、ビットコイン、アービトラム、リップル、ブラストです。
攻撃インシデント数の上位 6 位は次のとおりです。
イーサリアム、BNBチェーン、Arbitrum、その他、Base、Solana:
2023年と同様に、イーサリアムは依然として損失額が最も多いパブリックチェーンです。イーサリアムに対する 66 件の攻撃により、約 8 億 4,400 万ドルの損失が発生し、年間の損失総額の 33.59% を占めました。
注: この総損失データには、オンチェーン フィッシング損失と一部の CEX ホット ウォレット損失は含まれていません。
ビットコインネットワークの損失は2位で、1件のセキュリティインシデントによる損失は2億3,800万ドルに達した。 3位はArbitrumで、損失総額は約1億1400万ドルだった。
5. 攻撃手法の分析
2024 年の攻撃手法は、一般的な契約脆弱性攻撃に加えて、サプライ チェーン攻撃、サードパーティ サービス プロバイダー攻撃、中間者攻撃、DNS 攻撃、フロント攻撃など、非常に多様です。攻撃を終了するなど。
2024 年には 35 件の秘密鍵漏洩事件により、総額 13 億 600 万米ドルの損失が発生し、損失総額の 51.96% を占め、最も多くの損失を引き起こした攻撃手法となりました。多額の損失を引き起こした秘密鍵の漏洩には、DMM Bitcoin (3 億 400 万ドル)、PlayDapp (2 億 9,000 万ドル)、リップル共同創設者クリス ラーソン (1 億 1,200 万ドル)、BTCTurk (5,500 万ドル)、Radiant Capital (5,300 万ドル)、BingX (4,470 万ドル) が含まれます。 )、DEXX(2100万ドル)。
契約上の脆弱性の悪用が最も頻繁に行われる攻撃方法であり、 131 件の攻撃のうち 76 件が契約上の脆弱性の悪用によるもので、58.02% を占めました。契約の抜け穴による損失総額は約3億2100万ドルで、損失額では3位となった。
脆弱性ごとに分類すると、ビジネス ロジックの脆弱性が最も頻繁に発生し、最も多くの損失を引き起こします。契約上の脆弱性インシデントにおける損失の約 53.95% はビジネス ロジックの脆弱性によるもので、総額約 1 億 5,800 万ドルの損失が生じます。
6. 典型的なマネーロンダリング対策事件の分析
6.1 ポルターファイナンスのセキュリティインシデント
イベント概要
2024 年 11 月 17 日、Beosin Alert 監視警告によると、FTM オンチェーン融資契約 Polter Finance が攻撃され、攻撃者がフラッシュ ローンを通じてプロジェクト契約のトークン価格を操作して利益を得ていたことが判明しました。
脆弱性と資金調達の分析
この事件で使用された LendingPool コントラクト (0x d 47 ae 558623638 f 676 c 1 e 38 kid 71 b 53054 f 54273) では、0x 6808 b 5 ce 79 d 44 e 89883 c 5393 b 487 c 4296 abb 69 fe が使用されています。オラクルとして、オラクルは最近デプロイされた価格フィード コントラクト (0x 80663 edff 11 e 99 e 8 e 0 b 34 cb 9 c 3 e 1 ff 32 e 82 a 80 fe) を使用します。この価格フィード コントラクトは、攻撃者がフラッシュ ローンの価格計算に使用できる uniswap V2_pair (0x Ec 71) コントラクトのトークン リザーブを使用するため、このコントラクトは価格操作攻撃に対して脆弱です。
攻撃者はフラッシュ ローンを使用して $BOO トークンの価値を不正につり上げ、他の暗号資産を貸し出しました。盗まれた資金は攻撃者によって FTM トークンに変換され、ETH チェーンにクロスチェーンされ、すべての資金がそこに保管されました。以下は、ARB チェーンと ETH チェーン上の資金の流れプロセスの概略図です。
11 月 20 日、攻撃者は次の図に示すように、2,625 ETH 以上を Tornado Cash に送金し続けました。
6.2 BitForexのセキュリティインシデント
イベント概要
2024 年 2 月 23 日、有名なオンチェーン探偵 ZachXBT は、分析ツールを通じて、BitForex のホットウォレットで約 5,650 万ドルの流出が発生し、その過程でプラットフォームの出金サービスが停止されたことを明らかにしました。
ファンド分析
Beosin セキュリティ チームは、Trace を通じて BitForex インシデントの詳細な追跡と分析を実施しました。
イーサリアム
Bitforex取引所は、2024年2月24日6時11分(UTC+ 8)に40,771 USDT、258,700 USDC、148.01 ETH、471,405 TRBをイーサリアムに送金し始めました。暴走アドレス (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)。
その後、北京時間 8 月 9 日に、身代金アドレスは TRB を除くすべてのトークン (147.9 ETH、40,771 USDT、258,700 USDC を含む) を Bitforex 取引所アカウント (0xcce7300829f49b8f2e4aee6123b12da64662a8b8) に返送しました。
その後、北京時間の 11 月 9 日から 11 月 10 日にかけて、実行中のアドレスは 7 つのトランザクションを通じて 355,000 TRB を 4 つの異なる OKX Exchange ユーザー アドレスに転送しました。
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
次に、実行アドレスは残りの 116,414.93 TRB をすべてトランジット アドレス (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e) に転送し、その後アドレスはすべての TRB を 2 つのトランザクションで 2 人の異なる Binance Exchange ユーザーに転送しました。
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0x e 7 b 1 fb 77 baaa 3 bba 9326 af 2 af 3 c d5 857256519 df
BNBチェーン
2月24日、Bitforex取引所は、降水量までに166 ETH、46,905 USDT、57,810 USDCをBNBチェーンアドレス(0x dcacd 7 eb 669 2b 816 b 6957 f 8898 c 1 c 4 b 6 3d 1 fc 01 f)に引き出しました。
ポリゴン
北京時間の2月24日、Bitforex取引所は99,000 MATIC、20,300 USDT、1,700 USDCをPOLチェーンアドレス:0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01fに引き出しました。
このうち、99000 MATIC は 8 月 9 日にアドレス 0x cce 7300829 f 49 b 8 f 2 e 4 aee 6123 b 1 2d a 64662 a 8 b 8 に転送され、これまでに沈殿しており、残りの USDT および USDC トークンはこれまでに沈殿しました。
トロン
2月24日、Bitforex取引所は44,000 TRXと657,698 USDTをTRONチェーンアドレスTQcnqaU 4 NDTR 86 eA 4 FZneeKfJMiQi 7 i 76 oに引き出しました。 8 月 9 日に、上記のトークンはすべて Bitforex 取引所のユーザー アドレス、TGiTEXjqx 1 C 2 Y 2 ywp 7 gTR 8 aYGv 8 rztn 9 uo に返送されます。
ビットコイン
2 月 24 日から、16 の Bitforex アドレスが合計 5.7 BTC を BTC チェーン アドレス 3D bbF 7 yxCR 7 ni 94 ANrRkf V1 2 rJoxrmo 1 o 2 に転送しました。このアドレスは、8 月 9 日に 5.7 BTC をすべて Bitforex 交換アドレスに転送しました: 11 dxPFQ 8 K 9 pJeffffHE 4 HUwb 2 aprzLUqxz。
要約すると、2月24日、Bitforex取引所は40,771 USDT、258,700 USDC、148.01 ETH、471,405 TRBをTRONチェーンに転送し、5.7 BTCをBTCチェーンに転送しました。 ETH、46,905 USDT、57,810 USDCがBNBチェーンに転送され、99,000 MATIC、20,300 USDT、1,700 USDCがポリゴンチェーンに転送されました。 8月9日、TRBトークンを除くBTCチェーンのすべてのトークン、TRONチェーンのすべてのトークン、およびETHチェーンがBitforex取引所に戻され、11月9日と10日に471,405TRBすべてが4つのOKXアカウントに転送されました。バイナンスアカウント2つ。これまでにETHチェーン、TRONチェーン、BTCチェーンのすべてのトークンがBSCに入金され、166ETH、46,905USDT、57,810USDC、POLに99,000MATIC、20,300USDT、1,700USDCが入金されました。
添付のデポジット TRB 交換アドレス:
7. 盗難資産の資金の流れの分析
2024 年を通じて盗まれた資金のうち、約 13 億 1,200 万米ドルがハッカーのアドレスに残存しており (クロスチェーンを介した送金や複数のアドレスへの分散を含む)、盗まれた資金総額の 52.20% を占めています。昨年と比較して、今年のハッカーは、コインミキサーを直接使用するのではなく、複数のクロスチェーンを使用してマネーロンダリングを行い、盗んだ資金を多くのアドレスに分散させる可能性が高くなります。住所の増加とマネーロンダリング経路の複雑化により、プロジェクト関係者や規制当局にとっての調査がさらに困難になることは間違いありません。
盗まれた資金のうち約5億3,100万ドルが回収され、約21.13%を占めた。 2023 年には約 2 億 9,500 万ドルが回収される予定です。
年間を通じて、盗難資金のうち約 1 億 900 万米ドルがコイン ミキサーに送金され、盗難資金総額の約 4.34% を占めました。 2022 年 8 月に米国 OFAC が Tornado Cash を制裁して以来、Tornado Cash に送金された盗難資金の量は大幅に減少しました。
8. プロジェクト監査状況の分析
攻撃インシデント 131 件のうち、42 件はプロジェクト当事者が監査されておらず、78 件はプロジェクト当事者が監査され、11 件はプロジェクト当事者の監査状況が確認できなかった。
未監査のプロジェクト 42 件のうち、契約上の脆弱性インシデントが 30 件(約 71.43%)を占めました。これは、監査のないプロジェクトは潜在的なセキュリティ リスクの影響をより受けやすいことを示唆しています。これに対し、監査対象プロジェクト 78 件のうち、契約上の脆弱性インシデントは 49 件 (約 62.82%) を占めていました。これは、監査によってプロジェクトのセキュリティをある程度向上できることを示しています。
しかし、Web3 市場には完全な規制基準が存在しないため、監査の品質にはばらつきがあり、最終結果は期待とは程遠いものになっています。資産のセキュリティを効果的に確保するには、プロジェクトをオンラインにする前に監査を実施する専門のセキュリティ会社を見つける必要があることが推奨されます。
9. ラグの引っ張り解析
2024 年、Beosin Alert プラットフォームは、Web3 エコシステム内の合計 68 件の主要な Rug Pull インシデントを監視しました。その総額は約 1 億 4,800 万米ドルで、 2023 年の 3 億 8,800 万米ドルから大幅に減少しました。
金額的には、68件のラグプル事件のうち、エッセンス・ファイナンス(2,000万米ドル)、Shido Global(240万米ドル)、ETHTrustFund(220万米ドル)の合計9件のプロジェクトが100万米ドル以上の金額に関与していた。 )、Nexera(180万ドル)、Grand Base(170万ドル)、SAGAトークン(160万ドル)、OrdiZK(140 100万ドル)、MangoFarmSOL(129万ドル)、RiskOnBlast(125万ドル)の被害総額は3,364万ドルで、ラグプル事件全体の損失の22.73%を占めています。
イーサリアムとBNBチェーンのラグ・プル・プロジェクトは総数の82.35%を占め、それぞれ2000万米ドルを超えるラグ・プルが1件発生しました。 Polygon、BASE、Solana など、他のパブリック チェーンでも少数の Rug Pull イベントが発生しています。
10. 2024年のWeb3ブロックチェーンセキュリティ状況まとめ
2024 年には、オンチェーンのハッキング活動とプロジェクト Rug Pull インシデントの数は 2023 年に比べて大幅に減少しましたが、損失額は依然として増加しており、フィッシング攻撃はさらに横行しています。最もコストのかかる攻撃方法は、やはり秘密鍵の漏洩です。この変化の主な理由は次のとおりです。
昨年の横行するハッカー活動を受けて、今年はプロジェクト関係者からセキュリティ会社に至るまで、Web3 エコシステム全体がセキュリティにさらに注目し、リアルタイムのオンチェーン監視やセキュリティ監査の強化など、さまざまな側面で取り組みが行われています。 、過去の契約の脆弱性悪用事件の経験から積極的に学習することで、ハッカーが契約の脆弱性を利用して資金を盗むことは昨年よりも困難になりました。ただし、プロジェクト関係者は、秘密鍵の保管とプロジェクト運用のセキュリティに関するセキュリティ意識を強化する必要もあります。
暗号通貨市場と従来の市場の統合により、ハッカーはもはや DeFi、クロスチェーンブリッジ、取引所などへの攻撃に限定されず、決済プラットフォーム、ギャンブルプラットフォーム、暗号ブローカー、インフラ、パスワードマネージャー、開発ツール、MEV ロボット、TG ロボット、その他のターゲット。
2024年から2025年にかけて、暗号化市場は強気相場に入り、オンチェーンファンドが活発化し、より多くのハッカー攻撃をある程度誘致すると予想されます。また、暗号資産を利用した様々な犯罪行為に対抗するため、各国の暗号資産に対する規制政策も徐々に整備されつつあります。このような傾向の下、ハッカー攻撃活動は 2025 年も引き続き高水準にあると予想されており、世界の法執行機関や規制当局は引き続き厳しい課題に直面することになります。
