![[セキュリティ月報] | 12月の脆弱性とハッカー攻撃による損失は2,860万ドルで、年間で最もハッカー攻撃が少なかった月](https://cdn-img.panewslab.com/panews/images/0EhuOIPK8w.jpg)
Zero Hour Technology の月例セキュリティ イベントのハイライトが始まりました。一部のブロックチェーンセキュリティリスク監視プラットフォームの統計によると、2024年12月には、さまざまなセキュリティインシデントによる損失額が11月と比較して大幅に減少しました。 12 月には典型的なセキュリティ インシデントが23 件以上発生し、ハッカー攻撃、フィッシング詐欺、敷物引き抜きなどによる損失総額は2,860 万米ドルに達し、 11 月から約 55% 減少しました。
ハッカーの攻撃
7 つの典型的なセキュリティ インシデント
(1) 12月1日、セキュリティ機関のファズランド連荘@shouccccは、分散型取引プラットフォームClipperがAPIの脆弱性(秘密鍵漏洩など)によりハッキングされたとツイートした。現在の損失は50万ドルを超え、650万ドルが危険にさらされており、ユーザーは直ちに資金を引き出すことが推奨されている。翌日、分散型取引所(DEX)クリッパーは、出金機能に脆弱性があり、そのプロトコルに対する最近のハッカー攻撃につながり、結果として45万ドルの損失をもたらし、秘密鍵が漏洩したのは「第三者」ではないと明らかにした。
![[セキュリティ月報] | 12月の脆弱性とハッカー攻撃による損失は2,860万ドルで、年間で最もハッカー攻撃が少なかった月](https://cdn-img.panewslab.com/panews/images/89s59lk9tT.jpg)
![[セキュリティ月報] | 12月の脆弱性とハッカー攻撃による損失は2,860万ドルで、年間で最もハッカー攻撃が少なかった月](https://cdn-img.panewslab.com/panews/images/i2X4XYQQ8K.png)
(2) 12 月 3 日、SlowMist セキュリティ チームの監視によれば、RunWay (BYC) が BSC に対して攻撃を受けた疑いがあり、約 10 万米ドルの損失が発生しました。
![[セキュリティ月報] | 12月の脆弱性とハッカー攻撃による損失は2,860万ドルで、年間で最もハッカー攻撃が少なかった月](https://cdn-img.panewslab.com/panews/images/Bg64VAK5Y3.jpg)
(3) 12月4日、セキュリティ会社ファズランドの共同創設者チャオファン・ショウ氏はステークを解除し、流動性を直ちに撤回することについて述べた。
![[セキュリティ月報] | 12月の脆弱性とハッカー攻撃による損失は2,860万ドルで、年間で最もハッカー攻撃が少なかった月](https://cdn-img.panewslab.com/panews/images/M2Qn681u93.jpg)
(4) 12 月 10 日、Zero Hour Technology プロジェクト チームは、Base 上のプロジェクトである CloberDEX に対するオンチェーン攻撃を監視しました。この脆弱性は主に、CloberDEX プロジェクト パーティの契約が取得するコードをやり直さなかったという事実によって引き起こされました。侵入の検出と保護、およびコントラクトが呼び出された後の状態変数の更新により、最終的に攻撃者がこの再入可能性の脆弱性を利用してプロジェクトの WETH を空にすることにつながります。
詳細な攻撃分析については、次のリンクをクリックしてください。
https://mp.weixin.qq.com/s/ff0YJBuZiaVBIIUZlarXRQ
(5) 12 月 15 日、Zero Hour Technology プロジェクト チームは、BnbSmartChain 上のプロジェクト DCFToken に対するオンチェーン攻撃を監視しました。攻撃されたプロジェクトは DCFToken であり、この攻撃により約 8,800 ドルの利益を得ました。この脆弱性の主な原因は、DCFToken プロジェクト パーティのコントラクトが DCFToken の価格を取得するときに、単一のソースである PancakeSwapV2 を通じて計算するため、価格が攻撃者によって操作され、最終的には価格の差が裁定取引に使用されることです。
詳細な攻撃分析については、次のリンクをクリックしてください。
https://mp.weixin.qq.com/s/DDadR1nOyYl-dPi5zwLLSQ
(6) 12 月 24 日、Scam Sniffer の監視によると、us04-zoom[.]us 脅威アクターに関連した偽の Zoom マルウェアにより被害者が 100 万ドルを失いました。現在、秘密キーを盗むマルウェアのケースが増加しています。ソースを厳密に検証し、インストール前にセキュリティ スキャンを実行する必要があります。以前、XプラットフォームユーザーのLsp(@lsp8940)は、「ウォレットが盗まれ、100万米ドル0++を失った。ハッカーはTwitterユーザーのふりをし、私のTwitterのやり取り情報を利用して私の友人になりすました。すると、相手は自分だと言いました」と投稿した。開発と私を攻撃するでしょう。会議のためにチャットして、Zoom リンクを送信しましょう。私のコンピューター自体にはZoom が搭載されていますが、以前はZoom を使用するときに常に問題が発生し、再インストールする必要があるとウェブページに表示されたため、再インストールして目が覚めました。気が付くと盗まれていた。」
(7) 12 月 29 日、FEG プロジェクトが攻撃され、約 100 万米ドルの損失が発生しました。分析によると、この事件の根本原因は、基礎となるワームホール クロスチェーン ブリッジと統合する際の構成可能性の問題であるようです。チェーンメッセージとトークンのクロスチェーン送信に使用されます。
敷物を引っ張る / フィッシング詐欺
9 つの典型的なセキュリティインシデント
(1) 12 月 1 日、0x32b8 で始まるアドレスは、フィッシング「ライセンス」署名に署名した後、Aave USDC で 145 万ドルを失いました。
(2) 12 月 3 日、0x95d1 で始まるアドレスは、フィッシング「承認」トランザクションに署名した後、141 万ドルを失いました。
(3) 12 月 5 日、0x30f8 で始まるアドレスはフィッシング攻撃により 2.77 BTC ($284,000+) を失い、MEXC を出国してから 1 時間も経たないうちに「承認増加」フィッシング署名に該当しました。
(4) 12 月 8 日、0x16f5 で始まるアドレスの $PEPE の所有者は、悪意のある「increaseAllowance」トランザクションに署名することによって 135 ドルを失いました。
(5) 12 月 9 日、感染した WallStreetBets X アカウントからフィッシング リンクをクリックした被害者は 220 万ドルを失いました。分析によると、一部の Web サイトの XSS の脆弱性がフィッシング Web サイトに悪用されていました。
(6) 12 月 11 日、0x7a12 で始まるアドレスはフィッシング取引に署名した後、780 万ドル相当の SolvBTC を失いました。
(7) 12 月 18 日、0xae4f で始まるアドレスは、「ライセンス」フィッシング署名に署名した後、492,000 ドル相当の aEthWETH と aPolWMATIC を失いました。
(8) 12 月 20 日、0x8458 で始まるアドレスは、「setApprovalForAll」フィッシング トランザクションに署名した後、1 つの Doodle を失いました。
(9) 12 月 20 日、0x61ccc で始まるアドレスは、「increaseAllowance」フィッシング トランザクションに署名した後、20 万ドルを失いました。
要約する
2024 年の最後の数か月間は、仮想通貨詐欺、侵害、ハッキングによる損失が減少し、12 月はハッキングが年間で最も少ない月でした。被害の大部分は脆弱性が原因で、12月には攻撃者が2670万ドルを盗んだ。
Zero Hour Technology セキュリティ チームは、プロジェクト関係者が常に警戒を続けることを推奨し、ユーザーにはフィッシング攻撃に注意するよう注意を喚起しています。ユーザーはプロジェクトに参加する前にプロジェクトの背景やチームを十分に理解し、慎重に投資プロジェクトを選択することをお勧めします。さらに、プロジェクトをオンラインにする前に、監査とプロジェクトの背景調査を実施する専門のセキュリティ会社を見つける必要があります。
