2024年Web3分野のトップ10セキュリティ事件の振り返り

2024年、Web3業界は絶え間ない革新を続ける一方で、ますます厳しいセキュリティの課題に直面しています。統計によると、2024年末までにWeb3分野では、ハッカー攻撃、詐欺、プロジェクト運営者の失踪などの理由により、総損失が2491万ドルに達する見込みです。これらの事件は、プライベートキー管理、スマートコントラクトなどの技術的欠陥を明らかにし、ソーシャルエンジニアリングや内部管理の潜在的リスクを浮き彫りにしました。本稿では、2024年のWeb3分野における十大セキュリティ事件を振り返り、業界が教訓を得て、将来のセキュリティ脅威により良く対処できることを目指します。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

1. DMMビットコインは3億400万ドルの攻撃を受けました

2024年5月31日、日本の著名な暗号通貨取引所DMM Bitcoinは重大なセキュリティ事故に遭遇しました。攻撃者は漏洩した秘密鍵を利用して、3億ドルを超えるビットコインを直接移転し、盗まれた資金を10以上の異なるアドレスに迅速に分散させました。この攻撃は、取引所の秘密鍵管理と多層的なセキュリティ防護における重大な不足を暴露しました。取引所はオンチェーンモニタリングと資金の凍結を通じてハッカーを追跡しようとしましたが、盗まれたビットコインは分散移転され、ミキシングツールを通じて洗浄されてしまい、追跡作業に大きな課題をもたらしました。

12月24日、日本の警察はこの事件が北朝鮮のハッカー集団ラザルスグループによって実行されたと確認しました。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

2. PlayDappが2.90億ドルの攻撃を受ける

2024年2月9日、PlayDappは大打撃を受けました。ハッカーが秘密鍵を盗むことによって20億枚のPLAトークンを鋳造し、初期価値は3650万ドルでした。プロジェクト側がハッカーとの交渉に失敗したため、ハッカーはその後さらに159億枚のPLAトークンを鋳造し、価値は2.539億ドルに達しました。一部のトークンが取引所に流入した後、PlayDappはPLA契約を一時停止し、新しいPDAトークン契約に移行せざるを得なくなりました。この事件は、ブロックチェーンプロジェクトにおける秘密鍵の保護と緊急対応の不足を浮き彫りにしました。

3. WazirXが2.35億ドルの攻撃を受ける

2024年7月18日、インド最大の暗号通貨取引所WazirXのマルチシグウォレットがハッカーによる精密攻撃を受けました。攻撃者はソーシャルエンジニアリング手法を使用してマルチシグ署名者に契約のアップグレード取引に署名させ、その後、アップグレードされた契約の権限を利用してウォレット内のすべての資産を移転しました。この事件はマルチシグウォレットの権限設定と操作の透明性に潜在的なリスクがあることを浮き彫りにし、業界内でプロジェクトの内部リスク管理とセキュリティメカニズムについての深い反省を引き起こしました。

4. Gala Gamesが2.16億ドルの攻撃を受ける

2024年5月20日、Gala Gamesの特権アドレスがハッカーによって侵害されました。攻撃者はトークン契約のmint関数を呼び出すことで、一度に50億GALAトークンを鋳造しました。その後、ハッカーはこれらのトークンを分割してETHに交換し、直接的に2億1600万ドルの損失を引き起こしました。Gala Gamesチームはその後、緊急にブラックリスト機能を有効にして一部のハッカーアカウントをブロックし、法的手段を通じて一部の損失を回収しました。

5. リップルの共同創設者クリス・ラーセンが1.12億ドルの攻撃を受ける

2024年1月31日、Rippleの共同創設者クリス・ラーセンの4つの個人ウォレットがハッカーによって侵害され、1.12億ドル相当のXRPが盗まれました。これらのウォレットは、ハードウェアデバイスの二重保護が不足していたため、攻撃の標的となったと考えられています。事件発生後、ある取引所が420万ドル相当のXRPを凍結し、ラーセンが盗まれた資産を追跡するのを支援しましたが、ほとんどの資金は分散型取引所やミキシングサービスを通じて洗浄されました。

6. Munchablesは6,250万ドルの攻撃を受けました

2024年3月26日、Blastに基づくWeb3ゲームプラットフォームMunchablesは、稀な内部侵入攻撃に遭遇しました。攻撃者はブロックチェーン開発者に偽装した北朝鮮のハッカーで、長期にわたり潜伏してコアコードと敏感な鍵を取得しました。攻撃によって巨額の損失が発生しましたが、コミュニティとチームの圧力の下、ハッカーは最終的にすべての盗まれた資金を返還しました。この事件はサプライチェーンの安全性の重要性を浮き彫りにし、特に第三者開発に依存するブロックチェーンプロジェクトにとって重要です。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

7. BtcTurkが5500万ドルの攻撃を受ける

2024年6月22日、トルコ最大の暗号通貨取引所BtcTurkがプライベートキー漏洩攻撃を受け、5500万ドル以上の暗号資産が損失しました。ある取引プラットフォームの協力により、530万ドルの盗まれた資金が無事に凍結されましたが、他の資産はまだ回収されていません。この事件は、中央集権型取引所のプライベートキー管理に対する市場の懸念を深めました。

8. Radiant Capitalは5,300万ドルの攻撃を受けました

2024年10月17日、Radiant Capitalのマルチシグウォレットがハッカーに攻撃されました。低いハードルの3/11署名検証方式を採用していたため、ハッカーは3人の署名者の秘密鍵を掌握し、オフチェーン署名を行い、ウォレット契約の所有権を悪意のあるアドレスに移転させ、最終的に5300万ドルが盗まれました。この攻撃は、マルチシグウォレットの設計とガバナンスメカニズムに対する業界の反省を引き起こしました。

注目すべきは、Radiant Capitalが今回の攻撃の前に契約の脆弱性により450万ドル、1900枚以上のETHを盗まれたことです。これは再び、Web3プロジェクトがセキュリティ問題をより重視する必要があることを強調しています。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

9. Hedgey Financeは4,470万ドルの攻撃を受けました

2024年4月19日、Hedgey Financeは複数のオンチェーン契約に対する攻撃を受けました。ハッカーはそのClaimCampaigns契約の承認の脆弱性を悪用し、EthereumとArbitrumの2つのチェーン上でトークンを成功裏に引き出し、総損失額は4470万ドルに達しました。この事件は、特にトークンの承認ロジックの厳密な検証におけるコード監査の重要性を示しています。

10. BingXが4470万ドルの攻撃を受ける

2024年9月19日、BingX取引所のホットウォレットがハッカーに侵入され、Ethereum、BNB Chain、Tronなど複数のパブリックチェーンが関与しました。取引所は迅速に資産移転と出金停止のメカニズムを開始しましたが、ハッカーはすでに4470万ドル相当の資産を成功裏に抽出しました。この攻撃は、中央集権型取引所のホットウォレット管理の高リスク性を反映しており、さらに業界がより安全な資産保管ソリューションを探求することを促進しています。

2024年に頻発する安全事件は再び私たちに警告します。ブロックチェーン業界の発展は安全保障なしには成り立ちません。秘密鍵の漏洩から契約の脆弱性、内部管理の不備から外部攻撃手段の進化に至るまで、各事件は深刻な教訓をもたらしました。ますます複雑化する攻撃の脅威に対処するために、業界の関係者は技術開発、管理規範、リスク管理の分野での投資を継続的に強化する必要があります。未来において、私たちは業界の協力と技術革新を通じて、より安全なブロックチェーンエコシステムを共に構築し、ユーザーと投資家により信頼できる保障を提供することを期待しています。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ