2024年、ブロックチェーン業界は技術革新や生態系の拡大とともに、ますます深刻なセキュリティ上の課題に直面している。セキュリティ監査会社Beosinの一部であるAlertプラットフォームによるモニタリングによると、プレスタイムの時点で、ハッキング、フィッシング詐欺、プロジェクト側の引き抜きによるWeb3空間での損失総額は、2024年に24億9100万ドルに達しています。
これらの事件は、秘密鍵管理やスマートコントラクトの脆弱性といった技術的な欠陥を露呈させただけでなく、ソーシャルエンジニアリングや内部管理における潜在的なリスクも浮き彫りにしました。この記事では、2024年の最もWeb3なセキュリティインシデントトップ10を紹介し、業界がこれらから学び、将来のセキュリティ脅威によりよく対処できるようにします。

第1位 DMMビットコイン
損失額:3億400万ドル
攻撃:秘密鍵の漏洩
2024年5月31日、日本のベテラン暗号通貨取引所であるDMM Bitcoinが歴史的な攻撃を受けた。攻撃者は漏洩した秘密鍵を使って3億ドル相当のビットコインを直接送金し、盗まれた資金を10以上の異なるアドレスに迅速に分散させた。この攻撃は、DMM Bitcoinの秘密鍵管理と多層セキュリティに重大な欠陥があることを露呈した。取引所はオンチェーン監視と資金の凍結を通じてハッカーを追跡しようと試みましたが、盗まれたビットコインの分散型転送と暗号通貨混合ツールを使用した資金洗浄により、追跡は極めて困難なものとなりました。
12月24日、日本の警察は、DMMビットコインの盗難が北朝鮮のハッカーグループLazarus Groupの仕業であると断定しました。

No.2.PlayDapp
損失額:2億9000万ドル
攻撃:秘密鍵の漏洩
2024年2月9日、プレイダップは、ハッカーが秘密鍵を盗むことで、初期値3650万ドルの20億PLAトークンを鋳造し、大きな打撃を受けました。プロジェクトとハッカーとの交渉が失敗したため、ハッカーは短期間でさらに159億PLAトークン(2億5390万ドル相当)を鋳造した。これらのトークンの一部がGate取引所に流れた後、PlayDappはPLA契約を中断し、PDAトークン契約に移行することを余儀なくされた。この事件は、秘密鍵の保護とインシデントへの対応という点で、ブロックチェーン・プロジェクトの欠点を浮き彫りにしています。
第3位 WazirX
損失額:2億3500万ドル
Method of attack: cyberattack and phishing
2024年7月18日、インド最大の暗号通貨取引所であるWazirXのマルチシグネチャウォレット「Safe Wallet」が、ハッカーによる精密な攻撃を受けました。攻撃者はソーシャルエンジニアリングによってマルチシグネチャーの署名者に契約アップグレード取引に署名するよう誘導し、アップグレードされた契約権限を使用してウォレットの資産をウォレットから移動させた。このケースは、管理権限の設定と運用の透明性という点で、マルチシグネチャ・ウォレットの潜在的なリスクを浮き彫りにし、また、プロジェクトの内部リスク制御とセキュリティメカニズムについて業界で深く考察するきっかけとなりました。
第4位 ガラゲーム
損失額:2億1600万ドル
。>
攻撃:アクセス制御の脆弱性
2024年5月20日、Gala Gamesの特権アドレスが、トークン契約内のミント関数を呼び出すことでハッキングされ、トークンを一気に鋳造されました。トークン契約内のミント関数を呼び出すことで、攻撃者は一度に50億GALAトークンを鋳造した。ハッカーたちはその後、追加のトークンを一括でETHに交換し、2億1600万ドルの直接的な損失をもたらしました。Gala Gamesチームは、ブラックリスト機能でハッカーのアカウントの一部をブロックし、司法手段によって損失を回復しました。

第5位.クリス・ラーセン(リップル社共同創業者)
損失額:1億1200万ドル
攻撃方法:秘密鍵の漏洩
攻撃方法:秘密鍵の漏洩
2024年1月31日、リップル社の共同創設者であるChris Larsen氏の個人ウォレット4つがハッキングされ、1億1200万ドルのXRPが盗まれました。このウォレットはハードウェアデバイスからの二重の保護が欠けていたために狙われた疑いがあります。事件後、CoinSecは420万ドル相当のXRPを凍結することに成功し、盗まれた資産を追跡するためにラーセン氏を支援しましたが、資金の大部分はすでに分散型取引所や暗号通貨混合サービスを通じて洗浄されています。第6位 Munchables
損失額:6250万ドル
2024年3月26日、ブラストベースのWeb3ゲームプラットフォームであるMunchablesは、珍しい内部侵入攻撃を受けました。攻撃者はブロックチェーン開発者を装った北朝鮮のハッカーで、長時間の侵入によりコアコードと機密キーにアクセスした。この攻撃による莫大な損失にもかかわらず、ハッカーはコミュニティとチームの圧力により、最終的に盗まれた資金をすべて返却した。この事件は、特にサードパーティの開発に依存するブロックチェーン・プロジェクトにとって、サプライチェーンのセキュリティの重要性を明らかにしています。
第7位 BtcTurk
損失額:5500万ドル
Method of attack: private key compromise
2024年6月22日、トルコ最大の暗号通貨取引所であるBtcTurkは、プライベートキーの漏洩攻撃に遭い、5500万ドル以上の暗号資産が失われました。CoinSecチームの支援により、盗まれた資金のうち530万ドルは凍結に成功したが、その他の資産は依然として回収されていない。この事件は、中央集権的な取引所における秘密鍵管理に対する市場の懸念を深めました。

BtcTurkの公式発表による攻撃
第8位 Radiant Capital
損失額:5,300万ドル
損失額:5,300万ドル
BtcTurkの攻撃に関する公式発表攻撃:秘密鍵の漏洩
2024年10月17日、Radiant Capitalのマルチシグネチャウォレットがハッキングされました。その低閾値3/11署名検証モデルにより、ハッカーは3人の署名者の秘密鍵を手に入れることでオフチェーン署名を開始し、ウォレットのコントラクトの所有権を悪意のあるアドレスに移し、最終的に5300万ドルの盗難につながりました。この攻撃は、マルチシグネチャ・ウォレットの設計とガバナンス・メカニズムに関する業界の反省の引き金となりました。
ラディアント・キャピタルはこの攻撃の前に、契約の脆弱性により450万ドルを失い、1,900ETH以上が盗まれました。Web3プロジェクトの関係者は、まだセキュリティにもっと注意を払う必要があります。
第9位 ヘッジファイナンス
損失額:4470万ドル
攻撃方法:契約の脆弱性
2024年4月19日、ヘッジファイナンスは複数のオンチェーン契約を標的とした攻撃を受けました。ハッカーはClaimCampaignsコントラクトの承認の脆弱性を悪用し、イーサリアムとアービトルムの両チェーンからトークンを抜き取ることに成功し、総額4470万ドルの損失を被りました。この事件は、コード監査、特にトークン承認ロジックの厳格な検証の重要性を示しています。

第10位.BingX
被害額:4470万ドル
攻撃手法:秘密鍵の漏洩
。2024年9月19日、BingX取引所のホットウォレットがハッキングされ、イーサリアム、BNBチェーン、トロンなど複数のパブリックチェーンが巻き込まれました。取引所はすぐに資産移転と引き出し凍結のメカニズムを作動させたが、ハッカーは4470万ドル相当の資産を引き出すことに成功した。この攻撃は、中央集権的な取引所におけるホットウォレット管理のリスクの高さを反映したものであり、業界はより安全な資産保管ソリューションを模索する必要に迫られています。
2024年に頻発したセキュリティ攻撃は、ブロックチェーン産業がセキュリティの護衛なしには繁栄できないことを改めて思い起こさせます。秘密鍵の漏洩から契約の脆弱性まで、内部管理の見落としから外部攻撃手法のエスカレーションまで、それぞれの事件は深い教訓をもたらしている。巧妙化する攻撃の脅威に対処するため、業界のすべての関係者は、技術の研究開発、管理の標準化、リスクの予防と管理への投資を強化し続ける必要がある。将来的には、業界の協力と技術革新を通じて、より安全なブロックチェーンエコシステムを確立し、ユーザーと投資家により信頼性の高い保護を提供することを期待しています。