ログイン/ 登録

Web3 ブロックチェーンセキュリティ体制年次報告書2024

2024/12/31 15:51

従う

序文

本調査レポートは、ブロックチェーン・セキュリティ・アライアンスによって開始されました。アライアンスのメンバーであるBeosinとFootprint Analyticsによって作成された本レポートは、2024年における世界のブロックチェーンセキュリティ態勢の発展を包括的に調査することを目的としています。世界のブロックチェーンセキュリティの現状を分析・評価することで、同レポートは現在直面しているセキュリティ上の課題や脅威を明らかにし、解決策やベストプラクティスを提供する。

本レポートにより、読者はウェブ3のブロックチェーンセキュリティ態勢のダイナミックな進化をより包括的に理解できるようになる。これにより、読者はブロックチェーン分野が直面するセキュリティ上の課題を評価し、対処することができる。さらに、読者は本レポートからセキュリティ対策や業界の方向性に関する有益なアドバイスを得ることができ、この新興分野において十分な情報に基づいた意思決定や行動をとることができるようになる。ブロックチェーンのセキュリティと規制は、Web3時代の発展における重要課題である。綿密な調査と議論を通じて、これらの課題をよりよく理解し、対処することで、ブロックチェーン技術のセキュリティと持続可能な発展を促進することができます。

1.2024年におけるWeb3ブロックチェーンのセキュリティ態勢の概要
1./h2>
セキュリティ監査会社Beosin'sによると、2024年のブロックチェーンのセキュリティ状況は以下のようになっている。セキュリティ監査会社のAlert Platformによると、Web3空間におけるハッキング、フィッシング詐欺、プロジェクトサイドのRug Pullの総費用は2024年に25億1300万ドルに達した。主要な攻撃は131件で、その損失総額は約17億9200万ドル、プロジェクト側のラグ・プルは68件で、その損失総額は約1億4800万ドル、フィッシング詐欺の損失総額は約5億7400万ドルでした。
2024年。ハッキング詐欺とフィッシング詐欺の金額はともに2023年から大幅に増加し、フィッシング詐欺は2023年に比べて140.66%急増した。プロジェクト側のラグ・プル・イベントでは、被害額が大幅に減少し、約61.94%減少した。
2024年の攻撃されたプロジェクトの種類には、DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレット、決済プラットフォーム、ゲームプラットフォーム、暗号ブローカー、インフラ、暗号マネージャー、開発ツール、MEVボット、TGボット、その他多数が含まれる。DeFiは最も頻繁に攻撃されたプロジェクトタイプで、DeFiに対する75件の攻撃により、合計約3億9000万ドルの損失が発生しました。また、CEXは合計損失額が最も大きいプロジェクトタイプで、CEXに対する10件の攻撃により、合計約7億2400万ドルの損失が発生しました。
2024年には攻撃を経験するパブリックチェーンの種類が増え、複数のチェーンで盗難を含む複数のセキュリティ事件が発生しています。イーサリアムは引き続き、損失額が最も大きいパブリックチェーンであり、イーサリアムに対する66件の攻撃により、損失額は約8億4400万ドル、1年間の損失総額の33.57%に達しました。
攻撃の手口では、35件の秘密鍵の漏洩が約13億600万ドルの損失をもたらし、損失総額の51.96%を占め、最も大きな被害をもたらした攻撃となりました。
契約の脆弱性を悪用する攻撃は、最も頻度の高い攻撃方法で、131件の攻撃のうち76件、つまり58.02パーセントを占めました。
1年間に回収された盗難資金は約5億3100万ドル（21.13%）でした。通年では、盗まれた資金の約1億900万ドルがコインミキサーに送金され、盗まれた資金全体の約4.34%に相当し、2023年と比較して約66.97%減少しました。

2.2024年のWeb3エコシステムにおけるセキュリティインシデントトップ10<2./p>

2024年に1億ドル以上の損失を出した攻撃は5件ありました：DMM Bitcoin（3億400万ドル）、PlayDapp（2億9000万ドル）、WazirX（2億3500万ドル）、Gala Games（2億1600万ドル）、そしてChris Larsenの盗難（1億1200万ドル）。上位10件のセキュリティインシデントの被害総額は約14億1,700万ドルで、これは年間攻撃総額の約79.07%に相当します。

第1位 DMM Bitcoin

損害額：3億400万ドル

第1位 DMM Bitcoin攻撃方法：秘密鍵の漏洩

2024年5月31日、日本の暗号通貨取引所DMM Bitcoinへの攻撃により、3億ドル以上のビットコインが盗まれた。盗まれた。ハッカーは盗まれた資金を洗浄しようとして、10以上のアドレスに分散させました。

第2位 PlayDapp

損失額：2億9000万ドル

攻撃方法：秘密鍵の漏洩
2024年2月9日、ブロックチェーンゲームプラットフォームPlayDappが攻撃され、ハッカーは20億PLAトークン（3650万米ドル相当）を鋳造した。3650万米ドルを鋳造した。PlayDappとの交渉が失敗した後、ハッカーは2月12日にさらに159億PLAトークン（2億5390万ドル相当）を鋳造し、資金の一部をGate取引所に送りました。その後、PlayDappプロジェクトチームはPLA契約を中断し、PLAトークンをPDAトークンに移行しました。
第3位 WazirX
損失額：2億3500万ドル
攻撃方法：サイバー攻撃とフィッシング
2024年7月18日、インドの暗号通貨取引所WazirXのマルチシグネチャウォレットから2億3000万ドル以上が盗まれました。このマルチシグネチャ・ウォレットはSafe walletスマートコントラクト・ウォレットでした。攻撃者はマルチ署名者に契約のアップグレード取引に署名するよう誘導し、アップグレードされた契約を通じてウォレットから直接資産を送金し、最終的に2億3000万ドル以上の資産を送金しました。
第4位 Gala Games
損失額：2億1,600万ドル
損失額：2億2,000万ドル
攻撃者は複数の署名者を誘導し、取引をアップグレードする契約に署名させました。style="text-align: left;">攻撃：アクセス制御の脆弱性
2024年5月20日、Gala Gamesの特権アドレスが侵害され、攻撃者はそれを通じてトークンのその後、Gala Gamesチームはブラックリスト機能を使用してハッカーを阻止し、損失を回復しました。
第5位クリス・ラーセン（リップル共同創業者）
損失額：1億1200万ドル
攻撃方法：秘密鍵の漏洩
2024年1月31日、リップル社の共同創設者クリス・ラーセン（Chris Larson-Chris Larsenによると、4つのウォレットが侵害され、合計で約1億1200万ドルの損失につながったとのことです。リップル社のチームは420万ドル相当の盗まれたXRPトークンを凍結することに成功しました。
第6位 Munchables
損失額：6250万ドル
攻撃方法：ソーシャルエンジニアリング攻撃
2024年3月26日、BlastベースのWeb3ゲームプラットフォームであるMunchablesは、約6,250万米ドルの攻撃を受けました。6,250万米ドルに上った。このプロジェクトが攻撃されたのは、北朝鮮のハッカーが開発者として雇われていたためです。すべての盗まれた資金は、最終的にハッカーによって返却されました。
第7位 BTCTurk
損失額：5500万ドル
攻撃方法：秘密鍵の漏洩
2024年6月22日、トルコの暗号通貨取引所BTCTurkが攻撃され、約5500万ドルの損失が発生した。CoinSharesは、盗まれた資金530万ドル以上の凍結を支援しました。
第8位 Radiant Capital
損失額：5300万ドル
攻撃方法：秘密鍵の漏洩
2024年10月17日、マルチチェーン融資プロトコルのRadiant Capitalが攻撃され、攻撃者は不正に以下のアクセス権を得ました。攻撃者はRadiant Capitalのマルチシグネチャーウォレットの3人の所有者に不正にアクセスしました。このマルチシグネチャウォレットは3/11署名検証モデルを使用しているため、攻撃者はこれらの3つの秘密鍵を使用してオフチェーン署名を行い、その後オンチェーン取引を開始し、Radiant Capitalの契約の所有権を攻撃者のコントロール下にある悪意のある契約に移し、5300万ドル以上の損失をもたらしました。
第9位 Hedgey Finance
損失額：4470万ドル
攻撃方法：契約の脆弱性
2024年4月19日、Hedgey Financeは複数の攻撃を仕掛ける攻撃者から攻撃を受けました。攻撃者はトークン承認の脆弱性を悪用し、ClaimCampaigns契約から大量のトークンを盗み、イーサリアムのチェーンからは210万ドル相当以上のトークンが、Arbitrumチェーンからは約4260万ドル相当のトークンが盗まれました。
第10位 BingX
損失額：4470万ドル
損失額：4470万ドル
攻撃方法：秘密鍵の漏洩
2024年9月19日、BingX取引所ホットウォレットがハッキングされました。BingXは資産の緊急移送や引き出しの停止などの緊急時対応策を発動したものの、Beosinによると、ホットウォレットの異常流出による資産の損失総額は4470万ドルにも上り、盗まれた資産はイーサリアム、BNBチェーン、トロン、ポリゴン、アバランチ、ベースなど複数のブロックチェーンに関連していた。
3.攻撃されたプロジェクトの種類
3.="text-align: left;">2024年に攻撃されるプロジェクトの種類は、DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレットなどの一般的なタイプに加えて、決済プラットフォーム、ゲームプラットフォーム、暗号ブローカー、インフラ、暗号マネージャー、開発ツール、MEVボット、TGボット、その他さまざまなプロジェクトの種類があるようです。
DeFi 2024。DeFi攻撃による損失総額は3億9,000万ドルで、これは全損失額の15.50%に相当し、損失額では4番目に高額なプロジェクトタイプです。
損失額1位はCEX（中央集権型取引所）でした。はCEX（中央集権型取引所）であり、10回の攻撃で合計約7億2400万ドルの損失が発生し、損失額が最も大きいプロジェクトタイプとなっています。これらを総合すると、2024年には取引所タイプで多くのセキュリティインシデントが発生し、取引所のセキュリティがWeb3のエコシステムにとって最大の課題であることに変わりはないようです。
2番目に損失額が大きかったのは個人ウォレットで、損失総額は約4億4500万ドルでした。暗号のメガウオールに対する12の攻撃と、一般ユーザーに対する多数のフィッシング攻撃やソーシャルエンジニアリング攻撃により、個人ウォレットの損失総額は2023年と比較して464.72%も急増し、取引所のセキュリティに次ぐ大きな課題となっています。
4.チェーン別の損失額
また、2023年と比較して、2024年に攻撃を経験したパブリックチェーンの種類はより広範囲に及んでいる。損失額上位5位は、イーサリアム、ビットコイン、アービトラム、リップル、ブラストです
攻撃回数上位6位は
イーサリアム、BNBチェーン、アービトラム、その他、ベース、ソラナ:
イーサリアム、BNBチェーン、アービトラム、その他、ベース、ソラナ:
2023年と同じ。イーサリアムは依然として、損失額が最も大きいパブリックチェーンでした66 イーサリアムへの攻撃により、約8億4400万ドルの損失が発生し、この年の損失総額の33.59%を占めました。
注：この総損失データには、オンチェーンフィッシングの損失は含まれていません。いくつかのCEXホットウォレットの損失で
ビットコインネットワークが2位で、1件のセキュリティインシデントによる損失額は2億3800万ドルでした。3位はArbitrumで、損失総額は約1億1400万ドルでした。
5.攻撃手法の分析
5."text-align: left;">2024年の攻撃手法は非常に多様で、一般的な契約脆弱性攻撃に加えて、サプライチェーン攻撃、第三者サービスプロバイダ攻撃、中間者攻撃、DNS攻撃、フロントエンド攻撃などさまざまな攻撃手法があります。
2024年には、35件の秘密鍵の漏洩がありました。秘密鍵の漏洩は合計13億600万ドルの損失をもたらし、損失全体の51.96 %を占め、最も大きな損失をもたらした攻撃でした。より大きな損失をもたらした秘密鍵の侵害は、DMM Bitcoin（3億400万ドル）、PlayDapp（2億9000万ドル）、Rippleの共同創設者Chris Larson（1億1200万ドル）、BTCTurk（5500万ドル）、Radiant Capital（5300万ドル）、BingX (4470万ドル）、DEXX（2100万ドル）。
契約の脆弱性を悪用した攻撃が最も多く、131件の攻撃のうち76件、58.02パーセントが契約の脆弱性を悪用したものでした。契約の脆弱性による被害総額は約3億2,100万ドルで、被害額では第3位でした。
脆弱性別に見ると、最も頻繁でコストのかかる脆弱性はビジネスロジックで、契約の脆弱性の53.95%が1億5800万ドルの損害をもたらしました。
ビジネスロジックの脆弱性が最もコストが高かった。align: left;">6.典型的なAMLインシデントの分析
6.1 Polter金融セキュリティ事件
事件の概要
2024年11月17日、Beosin Alertの監視アラートによると、以下のような事件が発生した。Beosin Alertのモニタリングアラートは、FTMのオンチェーンレンディングプロトコルPolter Financeに対する攻撃を発見し、攻撃者はライトニングレンディングを介して利益を得るためにプロジェクトの契約におけるトークンの価格を操作しました。
脆弱性と資金調達の分析
このインシデントで攻撃されたLendingPool契約(0xd47ae558623638f676c1e38dad71b53054f54273)は、0x6808b5ce79d44e8983c5393b487c4296abb69feを予言者として使用しており、これは最近導入されたフィーダー価格契約(0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe).このフィーダー契約は、uniswapV2_pair (0xEc71)契約のトークンリザーブを使用しており、攻撃者が価格を計算するためにライトニングレンディングに使用することができます。
攻撃者はライトニング・レンディングを使って、他の暗号資産を貸し出し、$BOOトークンの価値を偽ってつり上げました。その後、盗まれた資金は攻撃者によってFTMトークンに変換され、すべての資金が入金されたETHチェーンにクロスチェーンされました。
11月20日、攻撃者は以下のように2,625ETH以上をトルネードキャッシュに送金し続けた:
6.2 BitForexのセキュリティ事件
事件の概要
2024年2月23日、有名なチェーンスルースZachXBTは、彼の分析ツールを通じて、BitForexのホットウォレットが約5,650万ドルの流出を見たこと、そしてその過程でプラットフォームが引き出しサービスを停止したことを公表しました。
資金分析
Beosinのセキュリティチームは、Traceを通じてBitForexのインシデントの詳細な追跡分析を行いました。style="text-align: left;">イーサリアム
2024年2月24日6:11（UTC+8）にBitforex取引所は40,771 USDTの送金を開始しました、258,700 USDC、148.01 ETH、471,405 TRBをイーサリアムランアドレス（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）に送金し始めました。
その後、GMT8月9日に、暴走アドレスはTRBを除くすべてのトークン（147.9 ETH、40,771 USDT、258,700 USDCを含む）をBitforexの取引所口座(0xcce7300829f49b8f2e4aee6123b12da64662a8b8).
その後、GMT 11月9日から11月10日の間に、実行中のアドレスは355,000 TRBを7つの取引で4つの異なるOKX Exchangeユーザーアドレスに送金しました。0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
暴走アドレスアドレスは、その後、残りの116,414.93 TRB全体をトランジットアドレス(0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)に転送し、その後、残りの116,414.93 TRBをすべてステージングアドレス(0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)に転送し、その後、すべてのTRBを2回の転送で2つの異なるCoinExchangeユーザー:
に転送します。0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
Bitforex取引所は、これまで2月24日にBNB Chainアドレス（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）に166ETH、46,905USDT、57,810USDCを引き出しました！沈殿。strong>
Bitforex取引所、2月24日BSTに99,000 MATIC、20,300 USDT、1,700 USDCをPOLチェーンアドレスに出金：0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f."
このうち99,000 MATICは8月9日に以下のアドレスに送金されました。0xcce7300829f49b8f2e4aee6123b12da64662a8b8が現在までに入金されており、残りのUSDTとUSDCトークンは現在までに入金されています。
TRON
2月24日、Bitforex取引所はTRONチェーンアドレスTQcnqaU4NDTR86eA4FZneeKfJMiQi7i76oに44,000 TRXと657,698 USDTを引き出しました。 8月9日、上記のトークンはすべてBitforex取引所に送金されました。すべて Bitforex 取引所ユーザーアドレス: TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo.
ビットコイン
2月24日から、16のBitforexアドレスがBTCチェーンアドレス3D3.7BTCに転送されます。このアドレスはBTCチェーンアドレス3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2に転送されました。このアドレスは8月9日に5.7BTCすべてをBitforex取引所アドレス：11dxPFQ8K9pJefffHE4HUwb2aprzLUqxzに転送しました。
要約すると、2月24日にBitforex取引所は40,771 USDT、258USDC、148.01 ETHおよび471,405 TRBをETHチェーンに、44,000 TRXおよび657,698 USDTをTRONチェーンに、5.7 BTCをBTCチェーンに、166 ETH、46,905 USDTおよび57,810 USDCをBNBチェーンに、99,000MATIC、20,300 USDT、1,700 USDCをPolygon Chainへ。8月9日には、BTC Chainのすべてのトークン、TRON Chainのすべてのトークン、ETH ChainのTRBトークンを除くすべてのトークンがBitforexに戻され、11月9日と10日には、471,405TRBが4つのOKX口座と2つのBinance口座に移されました。この時点で、ETH、TRON、BTCチェーンのすべてのトークンが送金され、BSCには166 ETH、46,905 USDT、57,810 USDCが、POLには99,000 MATIC、20,300 USDT、1,700 USDCが入金されました。
トップアップTRB為替アドレスに添付：
7.盗難資産からの資金の流れの分析
7."text-align: left;">2024年を通して盗まれた資金のうち、約13億1200万ドルがハッカーのアドレスに残っており（クロスチェーン転送と複数のアドレスへの分散の両方）、盗まれた資金全体の52.20%を占めている。昨年と比較すると、今年のハッカーは、コインミキサーを直接利用するよりも、複数のクロスチェーンによるマネーロンダリングを利用し、盗まれた資金を多くのアドレスに分散させる傾向が強い。アドレスが増え、マネーロンダリングへの道筋がより複雑になったことで、プロジェクトのオーナーや規制当局が調査することがより難しくなったことは間違いありません。
盗まれた資金のうち約5億3100万ドル（約21億円）が回収された。盗まれた資金のうち約5億3100万ドル、つまり約21.13パーセントが回収された。これは2023年の約2億9500万ドルに比べても遜色ない。
盗まれた資金のうち約1億900万ドルが1年を通じてミキサーに送金され、盗まれた資金全体の約4.34パーセントを占めた。米国OFACがトルネード・キャッシュを制裁した2022年8月以降、トルネード・キャッシュに送金された盗難資金の額は大幅に減少している。
8.プロジェクト監査分析
8.
131件の攻撃のうち、プロジェクト側が監査されなかったインシデントが42件、プロジェクト側が監査されたインシデントが78件、プロジェクト側の監査状況が確認できなかったインシデントが11件あった。
監査されなかった42件のうち、契約の脆弱性が占めていた。未監査プロジェクト42件のうち、契約の脆弱性が30件（約71.43％）を占めた。このことは、監査を受けていないプロジェクトの方が潜在的なセキュリティリスクを抱えている可能性が高いことを示唆している。これに対して、契約上の脆弱性は、監査対象プロジェクト 78 件のうち 49 件（約 62.82%）を占めた。これは、監査によってプロジェクトのセキュリティがどの程度改善できるかを示している。
しかしながら、Web3市場には確立された基準がないため、監査の質はさまざまであり、提示された結果は満足のいくものではありません。効果的に資産を保護するために、プロジェクトは本番前に必ず専門のセキュリティ会社に監査を依頼することをお勧めします。
9、ラグ引き分析
2024年、Beosin Alertプラットフォームは、Web3エコシステムにおける68の主要なRug Pullイベントを監視し、関与した総額は約1億4800万ドルで、2023年の3億8800万ドルから大幅に減少しました。
金額で見ると、68件のラグ・プル・インシデントの総額は約1億4800万ドルでした。68件のラグ・プルのうち、9つのプロジェクトが100万ドル以上の金額に関わっていた。すなわち、Essence Finance（2000万ドル）、Shido Global（240万ドル）、ETHTrustFund（220万ドル）、Nexera（180万ドル）、GrandBase（170万ドル）、SAGA Token（160万ドル）、OrdiZK（140万ドル）、MangoFarmSOL（129万ドル）、RiskOnBlast（125万ドル）で、合計3,364万ドルの損失となり、これは全Rug Pullイベント損失の22.73％に相当します。
イーサリアムが24件、BNBチェーンが32件で、ラグ・プル総数の82.35パーセントを占めており、2000万ドルを超えるラグ・プルはScrollに1件ありました。ポリゴン、BASE、ソラナなど、他のパブリック・チェーンでも少数のラグ・プルがあった。
10, 2024 Web3 Blockchain Security Landscape Summary
2024年、チェーン上のハッキング活動、プロジェクト側のラグ・プル・イベントの数は、いずれも2023年から大幅に減少しましたが、損失額は依然として増加しており、フィッシング攻撃が横行しています。最もコストのかかる攻撃手法は、引き続き秘密鍵の漏洩です。
昨年ハッキングが横行した後、今年はWeb3のエコシステム全体がよりセキュリティに重点を置くようになり、プロジェクトオーナーからセキュリティ会社までが、リアルタイムのオンチェーン監視、セキュリティ監査の重点化、過去の契約の脆弱性悪用からの積極的な学習など、さまざまな分野で努力を重ねています。その結果、ハッカーが契約の脆弱性を利用して資金を盗むことは昨年よりも難しくなっている。しかし、プロジェクトオーナーは、秘密鍵の保持とプロジェクト運用のセキュリティをより意識する必要があります。
暗号と伝統的な市場の融合により、ハッカーはもはやDeFi、クロスチェーンブリッジ、取引所などの攻撃タイプに限定されず、決済プラットフォーム、ゲームプラットフォーム、暗号ブローカー、インフラ、暗号管理者、開発ツール、MEVボット、TGボットなど、幅広いターゲットへの攻撃に移行しています。
2024年から2025年にかけて、暗号市場は活発なオンチェーン資金調達による強気市場に突入し、ある程度ハッキングを呼び込むでしょう。また、暗号資産を利用したあらゆる犯罪行為に対抗するため、さまざまな地域で暗号資産に対する規制政策が徐々に改善されている。こうした傾向から、ハッキング活動は2025年も高水準で推移すると予想され、世界の法執行機関と規制当局は引き続き大きな課題に直面することになるでしょう。