2024年Web3セキュリティ事件の振り返り：トップ10の攻撃事例とその教訓

2024年、ブロックチェーン業界は技術革新とエコシステムの拡大を進める一方で、ますます厳しいセキュリティの課題にも直面しています。監視データによると、年末までにWeb3分野ではハッカー攻撃、フィッシング詐欺、プロジェクト運営者の逃走によって総損失が249.1億ドルに達しています。

これらの事件は、秘密鍵の管理やスマートコントラクトなどの技術的な欠陥を暴露するだけでなく、ソーシャルエンジニアリングや内部管理における潜在的なリスクも浮き彫りにしました。本稿では、2024年のWeb3における10大セキュリティ事件を振り返り、業界がそこから教訓を得て、将来のセキュリティ脅威により良く対処できることを期待しています。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

1. DMMビットコイン：秘密鍵の漏洩により3.04億ドルの損失

2024年5月31日、日本の有名な暗号通貨取引所DMM Bitcoinは深刻なセキュリティ事件に見舞われました。攻撃者は漏洩した秘密鍵を利用して、3億ドル以上のビットコインを直接移転し、迅速に盗まれた資金をいくつかの異なるアドレスに分散させました。この攻撃は、同取引所の秘密鍵管理と多層セキュリティ保護における重大な不足を明らかにしました。

取引所はオンチェーン監視や資金の凍結などの方法を通じてハッカーを追跡しようとしていますが、盗まれたビットコインが分散して移動され、ミキシングツールを使用して洗浄されているため、追跡作業は大きな課題に直面しています。年末に、日本の警察はこの事件が北朝鮮のハッカー集団Lazarus Groupによって計画・実行されたことを確認しました。

2. PlayDapp:秘密鍵の漏洩により2億9000万ドルの損失

2024年2月9日、PlayDappは大打撃を受けました。ハッカーはプライベートキーを盗むことで20億枚のPLAトークンを鋳造し、初期の価値は3650万ドルでした。プロジェクト側とハッカーの交渉が失敗したため、ハッカーは短期間でさらに159億枚のPLAトークンを鋳造し、価値は2.539億ドルに達しました。一部のトークンが取引所に流入した後、PlayDappはPLA契約を一時停止し、新しいトークン契約に移行せざるを得ませんでした。この事件は、ブロックチェーンプロジェクトにおけるプライベートキー保護と緊急対応の不足を浮き彫りにしました。

3. インドの取引所：ソーシャルエンジニアリング攻撃による2.35億ドルの損失

2024年7月18日、インド最大の暗号通貨取引所のSafe Walletマルチシグウォレットがハッカーによる精密攻撃を受けました。攻撃者はソーシャルエンジニアリング手法を用いてマルチシグ署名者に契約アップグレード取引に署名させ、その後アップグレードされた契約の権限を利用してウォレット内の全資産を移転しました。この事件は、マルチシグウォレットの権限管理設定と操作の透明性における潜在的リスクを明らかにし、業界内でのプロジェクトの内部リスク管理とセキュリティメカニズムに対する深い反省を引き起こしました。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

4. Gala Games：アクセス制御の脆弱性が2.16億ドルの損失を引き起こす

2024年5月20日、Gala Gamesの特権アドレスがハッカーによって攻撃されました。攻撃者はトークン契約のmint関数を呼び出し、一度に50億GALAトークンを鋳造しました。その後、ハッカーはこれらのトークンを分割してETHに交換し、直接的に2.16億ドルの損失を引き起こしました。Gala Gamesチームは事件発生後、緊急にブラックリスト機能を有効にし、一部のハッカーアカウントをブロックし、法的手段を通じて一部の損失を回収しました。

5. Rippleの共同創設者：秘密鍵の漏洩により1.12億ドルのXRPが盗まれる

2024年1月31日、Rippleの共同創設者の4つの個人ウォレットがハッカーによって侵害され、1.12億ドル相当のXRPが盗まれました。これらのウォレットはハードウェアデバイスによる二重保護が不足していたため、攻撃の標的となったと考えられています。事件発生後、ある取引所は420万ドル相当のXRPを凍結し、盗まれた資産の追跡を支援しましたが、大部分の資金はすでに分散型取引所やミキシングサービスを通じて洗浄されていました。

6. Munchables:内部侵入攻撃により6,250万ドルの損害を発生

2024年3月26日、Blastに基づくWeb3ゲームプラットフォームMunchablesは、稀な内部浸透攻撃に遭遇しました。攻撃者はブロックチェーン開発者を装ったハッカーで、長期間潜伏してコアコードと機密鍵を取得しました。攻撃は巨額の損失をもたらしましたが、コミュニティとチームの圧力の下、ハッカーは最終的に盗まれたすべての資金を返還しました。この事件は、特に第三者の開発に依存するブロックチェーンプロジェクトにとって、サプライチェーンセキュリティの重要性を浮き彫りにしました。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

7. トルコの取引所：秘密鍵の漏洩により5500万ドルの損失

2024年6月22日、トルコ最大の暗号通貨取引所がプライベートキー漏洩攻撃を受け、5500万ドル以上の暗号資産が損失しました。ある取引所チームの協力の下、530万ドルの盗まれた資金が無事に凍結されましたが、その他の資産はまだ回収されていません。この事件は、中央集権型取引所のプライベートキー管理に対する市場の懸念を深めました。

8. Radiant Capital：マルチシグウォレットが攻撃され、5300万ドルの損失を被る

2024年10月17日、Radiant Capitalのマルチシグウォレットがハッカーに侵害されました。低いハードルの3/11署名検証モデルを採用していたため、ハッカーは3人の署名者の秘密鍵を掌握し、オフチェーン署名を行い、ウォレット契約の所有権を悪意のあるアドレスに移転させ、最終的に5300万ドルが盗まれました。この攻撃は、マルチシグウォレットの設計とガバナンスメカニズムについて業界の反省を引き起こしました。

注目すべきは、Radiant Capitalが今回の攻撃の前に契約の脆弱性により450万ドルを失い、1900枚以上のETHが盗まれたことです。これは再びWeb3プロジェクトの運営者がセキュリティの重要性をより高める必要があることを示しています。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

9. Hedgey Finance:契約の脆弱性により4,470万ドルの損失

2024年4月19日、Hedgey Financeは複数のオンチェーン契約に対する攻撃を受けました。ハッカーはそのClaimCampaigns契約の承認の脆弱性を利用し、EthereumとArbitrumの2つのチェーン上のトークンを成功裏に抜き取り、総損失額は4470万ドルに達しました。この事件は、特にトークンの承認ロジックに対する厳格な検証の重要性を浮き彫りにしました。

10. ある取引所：ホットウォレットが侵入され、4470万ドルの損失

2024年9月19日、ある取引所のホットウォレットがハッカーに侵入され、関係するブロックチェーンにはイーサリアム、BNBチェーン、Tronなど複数のパブリックチェーンが含まれています。取引所は迅速に資産移転と引き出し凍結メカニズムを起動しましたが、ハッカーは4470万ドル相当の資産を成功裏に引き出しました。この攻撃は、中央集権型取引所のホットウォレット管理の高リスク性を反映しており、業界がより安全な資産保管ソリューションを模索することをさらに促進しています。

まとめ

2024年に頻発するセキュリティ攻撃事件は、ブロックチェーン業界の発展が安全な護衛なしには成り立たないことを再度思い出させてくれます。秘密鍵の漏洩から契約の脆弱性、内部管理の不備から外部攻撃手段の進化まで、各事件は深刻な教訓をもたらしました。複雑化する攻撃の脅威に対処するために、業界の各方面は技術開発、管理規範、リスク管理の強化に継続的に投資する必要があります。未来において、業界の協力と技術革新を通じて、より安全なブロックチェーンエコシステムを共に構築し、ユーザーと投資家により信頼できる保障を提供することを期待しています。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ