Zero Hour Technology の毎月のセキュリティ インシデントのハイライトが始まりました。一部のブロックチェーンセキュリティリスク監視プラットフォームの統計によると、2024年10月には、さまざまなセキュリティインシデントによる損失額が9月に比べて増加しました。 10 月には28 件を超える典型的なセキュリティ インシデントが発生し、ハッカー攻撃、フィッシング詐欺、ラグ プルによる損失総額は1 億 4,700 万米ドルに達し、9 月から約22.5%増加し、 1,930 万米ドルが払い戻されました。さらに、Web3 詐欺対策プラットフォーム Scam Sniffer の統計によると、今月のフィッシング事件の被害者は12,058 人で、損失額は1,804 万米ドルに達しました。
ハッカーの攻撃
5 つの典型的なセキュリティインシデント
(1) 10 月 5 日、EigenLayer がその結果、1,673,645 個の EIGEN トークンが誤って攻撃者のアドレスに転送されました。攻撃者は、これらの盗んだEIGENトークンを分散型取引所プラットフォームを通じて販売し、ステーブルコインを集中型取引所に移動させました。私たちはこれらのプラットフォームおよび法執行機関と連絡を取っています。一部の資金が凍結されました。
(2) 10月17日、融資プロトコルRadiant Capitalは、BNBチェーンとArbitrumネットワークの融資市場がハッキングされ、Baseネットワークとイーサリアムメインネットの市場も停止されたとツイートした。 Zero Hour Technology のセキュリティ チームは、この攻撃の根本原因は、3 人のコア開発者のハードウェア ウォレットがハッキングされたことであると分析しました。ハードウェア ウォレットのフロントエンドには通常の準拠した署名が表示されていましたが、実際の動作では署名が構築されていました。ハッカー自身がトランザクションを攻撃します。 3 人のコア開発者が署名すると、攻撃は完了しました。この攻撃により、総額 5,800 万米ドルの損失が発生しました。
https://mp.weixin.qq.com/s/7v2i8piOMBO2gs6f6lY53g
(3) 10 月 18 日、Tapioca DAO は重大なセキュリティ脆弱性に遭遇し、攻撃者はソーシャル エンジニアリング攻撃を通じて関連する秘密鍵を入手し、約 470 万米ドルの暗号通貨を盗みました。 10月25日、Tapioca DAOは、スマートコントラクト開発を担当するコアコントリビューターの秘密鍵への攻撃者による侵入に成功したためにセキュリティ侵害が発生したことを示すインシデント分析レポートを発表した。 SEAL911は、攻撃者が北朝鮮のハッカーグループであることを特定し、伝染性のインタビュー攻撃手法を使用して投稿者のコンピュータにマルウェアを注入し、盗難用のアドレスの秘密キーを入手した。
(4) 10月25日、Bitfinexハッカーによって押収された米国政府の資金管理アドレスから、2071万米ドル相当のUSDC/USDT/aUSDC/ETHが盗まれた。盗まれた資金がアドレス0x348...40A9fに転送された後、ステーブルコインの一部は2,709 ETH(680万米ドル相当)に変換されました。変換されたETHはBinanceと2つの新しいアドレスに配布されており、ハッカーのウォレットにはまだ1,320万ドル相当のAUSDCが保管されています。その後、約 1,930 万ドルのトークンが米国政府の住所に返送されました。
(5) 10 月 31 日に、SUNRAY FINANCE 秘密キーが漏洩しました。攻撃者は SUN および ARC トークンの所有権を取得し、大量のトークンを鋳造し、取引ペアを枯渇させるためにそれらを投棄しました。これまでに攻撃者は285万5000ドルを盗んだ。以前、SUNRAY FINANCEは、「SUNおよびARCトークンのトレジャリー資産の譲渡に関して、現在、復元に向けて懸命に取り組んでいます。心配しないでください。すべてのユーザー資産はチェーン上で利用可能です。」と発表しました。
敷物を引っ張る / フィッシング詐欺
11 の典型的なセキュリティインシデント
(1) 10 月 6 日に、0x213b で始まるアドレスがフィッシングされ、この人物は「承認」フィッシング取引に署名して MEXC からお金を引き出し、わずか 20 分で 10 万ドルを失いました。
(2) 10 月 7 日、0x5bfb で始まるアドレスがフィッシングされ、steakLRT で 192,000 米ドルの損失が発生しました。
(3) 10 月 9 日、0x63e4 で始まるアドレスがフィッシングされ、VOW で 133,000 ドルの損失が発生しました。
(4) 10 月 11 日、0xeab2 は「ライセンス」フィッシング署名に署名した後、15,079 fwDETH (3,500 万ドル) を失いました。
(5) 10 月 14 日、0xb0b8 で始まるアドレスは、「permit2」フィッシング署名に署名した後、139 万米ドル相当の PEPE、MSTR、および APU を失いました。
(6) 10 月 15 日、MSTR で 20 倍の利益を得た所有者は、「転送」フィッシング取引に署名した後、347,868 ドルを失いました。
(7) 10 月 18 日、0x84b7 で始まるアドレスがフィッシング被害に遭い、mETH で 80 万米ドルが損失しました。
(8) 10 月 21 日、0x2Ff7 で始まるアドレスがフィッシング詐欺に遭い、BEAM で 148,000 米ドルの損失が発生しました。
(9) 10 月 25 日、0x05f5 で始まるアドレスは、「補助金増額」フィッシング取引に署名した後、126,000 ドル相当の HyPC を失いました。
(10) 10 月 26 日、被害者は SOL と Bonk でフィッシング署名に署名した後、約 40,000 ドルを失いました。
(11) 10 月 31 日、0x3d00 で始まるアドレスがフィッシングされ、10 BTC ($723,436) の損失が発生しました。
要約する
上記の事象の分析から判断すると、10月に発生したハッカー攻撃は、一般的な契約の脆弱性悪用、アカウント窃盗などに加え、サプライチェーン攻撃、価格操作なども多岐にわたりました。さらに、今月は2件の逃走事件が発生し、損失額は数千万ドルに達した。
今月のフィッシング事件による被害額は先月に比べて減少しましたが、被害者数は増加しました。
ゼロアワー テクノロジー セキュリティ チームは、プロジェクト関係者に対して常に警戒を怠らないことを推奨し、ユーザーにはフィッシング攻撃に注意するよう注意を喚起しています。ユーザーはプロジェクトに参加する前にプロジェクトの背景やチームを十分に理解し、慎重に投資プロジェクトを選択することをお勧めします。さらに、プロジェクトをオンラインにする前に、監査とプロジェクトの背景調査を実施する専門のセキュリティ会社を見つける必要があります。