1月のセキュリティ・インシデント総額は2億ドル超 Web3 エコシステムのセキュリティは無視できない

出典:Beosin

今年も月例セキュリティ・ラウンドアップの時期がやってきた！ブロックチェーンセキュリティ監査会社Beosin KYTプラットフォームのモニタリングによると、2024年1月に様々なセキュリティインシデントで失われた金額は、2023年12月に比べて大幅に増加した。2024年1月には「28件」以上の典型的なセキュリティインシデントが発生し、ハッキング、フィッシング詐欺、Rug Pullsによる損失総額は約2億900万ドルで、昨年12月と比べて約97％増加した。このうち、攻撃は約1億6500万ドルで約76％増、フィッシング詐欺は約3331万ドルで約247％増、ラグ・プルは約1100万ドルで約280％増だった。

（注：8,150万ドルの損失を出したOrbit Bridgeのクロスチェーンブリッジ攻撃は、UTC時間に基づく2023年12月の損失としてカウントされています。2023年12月の攻撃イベントの金額は9,395万ドルに修正され、ハッキング、フィッシング詐欺、Rug Pullsによる損失総額は1億600万ドルに修正されています）

今月1,000万ドル以上の損失を出した攻撃には、リップル社の共同設立者であるクリス・ラーセン氏の個人口座から盗まれた1億1,200万ドル、韓国のWeb3ソーシャル音楽サービス「SOMESING」に対する攻撃で失われた1,158万ドルが含まれます。さらに、フィッシング詐欺は今月劇的に増加し、個人アドレスがフィッシングされ、100万ドル以上の損失を被った事件が複数発生しています。

ハッキング 

典型的なセキュリティインシデントが合計「13」件発生

1月2日、Arbitrumのオンチェーン融資プロトコルRadiant Capitalが契約の脆弱性により攻撃された。約450万ドルを費やした攻撃。

No.2 1月4日、ArbitrumオンチェーンレンディングプロトコルのGamma Strategiesが契約の脆弱性により攻撃を受け、損失総額は618万ドル。

第3位 1月6日、決済プラットフォームCoinsPaidがハッキングされ、約750万ドルの損失が発生した。

第4位 1月6日、Narwhalプロジェクトが署名者の秘密鍵の盗難により攻撃された疑いがあり、約150万ドルの損失が発生した。

No.5 1月16日、相互運用プロトコルSocketが契約の脆弱性により攻撃され、約330万ドルの損失が発生しました。その後、約230万ドルが回収された。

No.6 1月22日、PolygonチェーンのGAMEEゲームプロジェクトが攻撃され、攻撃者は秘密鍵を含む古いリポジトリへのアクセスを可能にする脆弱性によってプロジェクトのGitLabにアクセスしました。プロジェクトは2億GMEEトークン（約700万ドル）を失いました。

第7位 1月22日、DeFiプロトコルのConcentric.fiがソーシャルエンジニアリング攻撃を受け、約170万ドルの損失を被りました。

第8位 1月25日、OptimismチェーンのNebula Revelationゲームプロジェクトが再突入の脆弱性により攻撃を受け、約18万ドルの損害を被りました。

第9位 1月27日、韓国のWeb3ソーシャル音楽サービス「SOMESING」が攻撃を受け、7億3000万ネイティブトークンSSX（1158万ドル相当）を失った。

第10位 1月28日、ConfluxチェーンのGoledo Financeプロジェクトがフラッシュローン攻撃を受け、約170万ドルを失った。

第11位 1月29日、イーサリアムチェーン上のBarley Financeプロジェクトが再突入の脆弱性により攻撃され、約13万米ドルの損失が発生した。

No.121月30日、イーサリアムチェーン上のMIM_Spellプロジェクトがコントラクトの脆弱性により攻撃され、650万ドルの損失が発生した。

No.13 1月30日、リップル社の共同設立者であるクリス・ラーセン氏が、2億1300万XRP、つまり約1億1200万ドルが個人口座から盗まれたと主張しました。

Phishing Scams/Rug Pull Aspects 

典型的なセキュリティインシデントは合計「11」件ありました

No.1 1月1日、悪意のあるERC20に署名するために0x3605アドレスが盗まれました。許可証が約130万ドルで盗まれました。

No.2 1月2日、悪意のある「increaseAllowance」トランザクションに署名したために、0xd9b7アドレスが約247万ドル盗まれました。

No.3 1月3日、0x01beアドレスがアドレスポイズニング攻撃で約440万ドルの被害を受けました。

No.4 1月7日、SolanaチェーンのMangoFarmプロジェクトでラグプルが発生し、デプロイ元が約200万ドルの利益を得ました。

No.5 1月7日、ArbitrumチェーンのXKINGプロジェクトでラグ・プルが発生し、配置者は約124万ドルの利益を得ました。

No.6 1月9日、SEC Xの公式アカウント（Twitter）が盗まれ、「ビットコインスポットETFが承認された」という偽ニュースを投稿。

No.7 1月15日、FantomチェーンのHector Networkプロジェクトでラグプルが発生し、デプロイ者が約270万ドルの利益を得ました。

第8位 1月21日、0x1749アドレスでフィッシング詐欺が発生し、470万ドルの損失が出ました。

第9位 1月24日、0xf8EBアドレスがフィッシング攻撃で約130万ドルの資産を失いました。

第10位 1月25日、0x0c00アドレスがフィッシング詐欺で約266万ドルの資産を失いました。

第11位 1月27日、0xc9f3アドレスがフィッシング詐欺に遭い、約234万ドルを失った。

暗号犯罪/事件規制

典型的なセキュリティ事件は「4つ」あった

1月19日 - 米連邦検察は、暗号通貨詐欺のスキームで投資家から1億5000万ドル以上をだまし取った罪に問われているドイツの実業家を提訴しました。投資家から1億5000万ドル以上をだまし取ったとしている。

No.2 1月26日、インド人が米連邦地裁で、ダークウェブの麻薬密売容疑で暗号通貨没収額1億5000万ドルの有罪を認めました。

No.3 1月29日のニュースでは、米証券取引委員会（SEC）が17億ドルの暗号ネズミ講であるハイパーファンドを提訴しました。

第4位 1月30日のニュースでは、ドイツ警察がオンライン海賊版の取り締まりで約22億ドル相当の5万ビットコインを押収しました。

ブロックチェーンセキュリティの現在の新しい状況を踏まえ、「Beosin」はここで要約しています：

2024年1月のあらゆるタイプのブロックチェーンセキュリティインシデントで失われた金額は、全体として昨年12月に比べて大幅に増加しています。今月は個人のアドレスを狙ったフィッシング詐欺が数件発生しており、ユーザーには、不明なソースからのリンクを安易にクリックしないこと、署名の内容を注意深く確認すること、危険な認証は適時にキャンセルすることが勧められています。今月も、再入力の脆弱性、精度の欠如の問題、ビジネスロジックの問題など、契約の脆弱性を悪用した攻撃イベントが60%も発生している。