まもなく2023年も終了ですね。お疲れ様でした。
2023年の医カス
シンプルにまとめますと、ベトナムでブロックチェーン開発をずっと行っていました。
あとハッキング塾というのをコミュニティ内で始めまして、それが結構好評です。
入りたい人がいたら、DMくださいな
2023年の仮想通貨ハッキング
さて今年起こったハッキング事件をまとめていこうと思います。
これを描いてる途中にKyber Swapがハッキングされており、記事に追加しました笑
まずその前に、ハッキングの種類について纏めます。
ただ仮想通貨のハッキングというと皆んな難しく考えすぎてしまうので、話を簡単にしましょう。
あなたが強盗だとしましょう。
どこを狙いますか? どこから取ります?
普通に思いつくケース
- A) 歩いている人の財布をバレないうちにスリする
- B) オレオレ詐欺をする
- C) ATMを狙う
- D) 銀行システムそのものを狙う
- E) 銀行の人を騙してお金を振り込んでもらう
はい、わかりやすく分類しました。
今年起きてる仮想通貨の事件は、全部どれかに分類することができます。
A) 財布をスル
これを仮想通貨で例えるなら、ウォレットの秘密鍵を奪取することです。方法は色々あります。
こちらが用意した悪意あるWifiに繋がせるなどです。今回、下記にて紹介する事例だと8番に当たります。
B) オレオレ詐欺をする
これを仮想通貨で例えるならば、ユーザーを騙して、仮想通貨を振り込ませるというイメージです。
実際には、偽のメタマスクのページを作る。取引所のフリをして偽のメールを送るなどです。今回、下記にて紹介する事例だと9番に当たります。
C) ATMを狙う
これは、お金の入出金の場所を狙ってるので、仮想通貨に例えるのであれば、ウォレットを提供している会社に対してハッキングを行うなどです
D) 銀行システムそのものを狙う
これがいわゆるDEXや仮想通貨取引所を狙うことになります。
E) 銀行の人を騙してお金を振り込んでもらう
よくニュースになるのは、不正融資ですよね。適当な事業をでっち上げて、そこに融資してもらう。立派な詐欺罪です。仮想通貨の世界で例えるならば、怪しげなゲームアプリやレイヤーを作って、取引所にIDO,ICOをしてもらうということです。
どの難易度が最も高いか?
銀行システムそのものを狙うです。これは難易度が高いですが、額も大きいです。簡単に言えば銀行システム内にハッキングすることで資金を得ています。ちょっと専門的になりますが、後ほど説明していきます。
意外に多い「盗んだあと、8割ぐらい返します」の事例
これは仮想通貨では多いんですよ。その理由は二つあります。
理由1: 凍結されてしまう可能性がある。
例えばUSDTを100億円分、ハッキングに成功したとしましょう。
すぐに違うトークンに交換しないと、そのUSDTは凍結されます。なのでハッカーは、盗んだ瞬間、あらゆる取引所を経由してトークンを分散させます。それでも凍結されてしまう可能性があるので、なんなら一層のこと、「8割返すので、お願いします」という姿勢の方が上手くいきます。
ちなみに凍結するのも簡単なことではなく、ブロックチェーンの巻き戻し等、いろいろなことをしなければいけないのです。
理由2: 捕まらない
現実世界で、銀行強盗をして8割返すんで許してください。と言っても警察に逮捕されます。
しかし仮想通貨の場合、犯人がどこにいるかもわからないので、逮捕しようがないのです。なのでこの「2割だけください理論」が通じてしまう。
最近の私の収入源
ハッキングの話ばかりをしていると、最近、医カスはハッキングをしているんではないか?と思われるかもしれません。しかしその逆です。ハッカーから仮想通貨を守る仕事をしています。これが私の収益源です。具体的には、プロジェクトのソースコードを監査したり、プロジェクトのセキュリティ担当者へのコンサルティング、個人へのセミナーです。
ハッキングと一言で片付けても「ホワイトハッカー」という言葉が存在するように、悪い意味ではありません。仮想通貨に対するハッキング・セミナーは定期的にやってるので、興味がある人はTwitter等でDMしてください。
前置きが長くなりましたが、早速、細かな事例を見ていきましょう。
まず今回紹介する事例を表で見てください。
(参考記事より)
一番大きいハッキングで300億円近いわけです。ワクワクしてきましたね。
早速見ていきましょう。
0. Kyber Swap
まさに先週起きたハッキング事件なので、これからまとめます。 11月22日に、ユーザーの資金のうち約 5,400 万ドルが攻撃者によって奪われてしまいました。 なぜこのようなことが起きたか?
Swapに関するアルゴリズムで元々バグがあったために、そのバグをつかれて低価格でトークンをスワップできてしまい、それが流出につながりました。
非常に簡単に言えば、「この価格なら、Xトークンをステーキングする」、「この価格以上でステーキングを解除する」というような計算部分にバグがあったようです。
現在進行形なため、この5400万ドルが返還されるかどうかもわかりません。追加情報があれば、またこちらに記載します。
1. Euler Finance
事件概要
2023年3月13日、イーサリアム・ブロックチェーン上に構築された貸借プロトコルであるEuler Financeは、DeFiセクターで最大級のフラッシュローン攻撃の犠牲になった。その結果、オイラー・ファイナンスは約2億ドルという大きな損失を被った。
オイラー・ファイナンスのハッキングの経緯
まずフラッシュローン攻撃について説明します。初手で混乱しないように、ゆっくりと簡単に説明します。
まずAトークンを10枚借りてきます。そのAトークンをBトークンにスワップして、Bトークン10枚を得ます。そしてその間に、Bに対するAの価格をあげます。そしてBトークン10枚を担保にAトークンを借りますが、価格が上がったので、10枚で借りれる金額がAトークン11枚になりました。そしてこの11枚のうち、10枚を最初の場所に返却すれば、あら不思議。Aトークン1枚だけ残ります。この作業を1つのトランザクションで数秒以内に行うわけです。これがフラッシュローン攻撃です。
なぜこの攻撃が可能になったか?
細かい説明なので興味ない人とは飛ばしてください。この攻撃は、オイラー・ファイナンスのeTokenのDonateToReserve関数に流動性の問題があったために発生しました。この関数はeTokenを適切に燃やしていましたが、対応するdTokenを燃やしていなかったため、借り入れ資産と担保資産の間で誤った変換が行われました。この矛盾はハッカーによって悪用され、dTokenが燃やされていないため、プラットフォームには預託されたeTokenが少なく、偽の負債があるという誤った印象を植え付けました。
失われた資金
Euler Financeは約1億9700万ドル相当の暗号通貨の損失を被り、そのネイティブトークンであるEULは45%以上の急激な下落した
資金の回復
フラッシュローン攻撃から数週間後、ジェイコブと名乗る攻撃者は、一連の暗号化されたメッセージとトランザクションを通じて盗まれた資金を返却しました。Euler Financeはその後、資金の受領を認め、コミュニティ調査を終了し、ユーザー資産の復元計画を策定しました。
その後取られた対策
このようなフラッシュ・ローン攻撃のリスクを軽減するためには、異常に大きな値動きや流出を検知した際にプロトコルを一時的に停止できるサーキットブレーカーを導入し、ハッキングを初期段階で阻止できる可能性があることを推奨しました。
最終的な解決
2023年4月6日までに、この問題はハッカーによって盗まれた資金が完全に返還され、解決に至った。オイラー・ファイナンスはコミュニティによる調査の完了を宣言し、ユーザーへの資産返還計画を策定中。
北朝鮮のハッキング・シンジケートであるLazarus Groupが関与している可能性についてはまだ結論が出ておらず、オイラー・ファイナンスのハッキングとAxie Infinity Ronin Bridgeのハッキングの関係についてはさらなる調査が必要だそうです。
2. Angle Protocol(1760万ドル)
これはどちらかというと、地方の銀行が利回りを求めて、大手銀行に資産を預けてたら、その資産の価値が下がって、間接的に影響を受けているというイメージです。
背景
AngleProtocolはagEURステーブルコインで有名なプロジェクトです。2023年3月13日にオイラー・プロトコルに対するハッキングの間接的な影響を受けました。Angle Protocolは、USDCとDAIを大量にEuler Financeに預けていました。それゆえに、オイラーファイナンスのハッキングの影響を受けました。
アングル・プロトコルのハッキングの経緯
オイラー・プロトコルへの侵入は2023年3月13日午前9時56分(中央ヨーロッパ標準時)に発生した。Angle Labsは午前10時20分(中央ヨーロッパ標準時)までに不正を検知し、機能を一時停止したり、様々なプラットフォームからの出金取引を開始するなど、Angle Protocolへの影響を軽減するための緊急プロトコルを速やかに開始した。
資金の損失
この事件により、Angle ProtocolはEulerへの1,760万USDCの投資により間接的な損失を被り、Total Value Locked (TVL)に影響を及ぼしました。
資金の回収
盗まれた資金は2023年3月25日にオイラーDAOに返済され始め、2023年4月4日までにすべての資金が返還されました。
リスクを軽減するには
今回の事件の教訓は、当たり前ですが、預けている取引所は分散させた方が良いということです。
3. Platypus Finance(920万ドル)
これは、どうやって盗んだのか、あまりよくわかっていない事件です。
背景
Platypus financeは安定したコインに焦点を当てたDeFiプロトコルで、Avalancheネットワーク上で運営されていたが、2023年2月23日のブログ投稿で明らかになったように、重大なセキュリティ・エクスプロイトに見舞われた。また、2023年10月12日には3度目の攻撃を受けた。この事件は、暗号分野におけるセキュリティ侵害の持続的な問題を浮き彫りにするもう1つの事例である。
事件の経緯
プロトコルのソルベンシー・チェック・メカニズムの脆弱性が悪用され、3回連続の攻撃を受けた。攻撃者はこのバグを悪用し、プロトコルから920万ドルのデジタル資産を流出させ、ネイティブのステーブルコインであるUSPのドルペッグを失わせた。最初の攻撃は最も有害で、プロトコルのメインプールから様々な安定コイン850万ドルを流出させた。2回目の攻撃では、不注意から38万ドルの安定コインが別の貸し出しプロトコルであるAaveに移された。3回目の攻撃では287,000ドル相当の資産が失われた。
Platypus Financeは2023年10月12日に3回目の攻撃を受け、200万ドルを超える損失を被り、ラップされたAVAXと流動性のあるステークされたAVAXの両方の保有に影響を与えた。
損失資金
このセキュリティ侵害による累積損失は920万ドルに達し、USDC、USDT、DAI、Binance USDなどのさまざまな安定コインで構成されています。これらの資金は、プラットフォームの脆弱性を悪用した一連の攻撃によって、プロトコルのメインプールから抜き取られた。
資金の回収
攻撃後、Platypus financeはブロックチェーンセキュリティ会社BlockSecの支援により、盗まれたUSDC安定コインのうち240万ドルを回収することに成功した。 さらに、Tetherが介入し、盗まれたUSDTのうち150万ドルを凍結した。Platypus Financeもまた、Aaveに誤って送金された38万ドルの放出について交渉中である。しかし、第3の攻撃で盗まれた28万7000ドルは、暗号ミキサーのトルネード・キャッシュと暗号化サービスのアズテック・ネットワークを利用して盗まれた資産の痕跡を隠したため、回復不可能と考えられている。
最終解決
Platypus financeは、少なくとも63%のユーザー資金を返済することを約束し、より多くの資産が回収された場合、より多くの割合を補償する可能性に取り組んでいる。同プロトコルはBinanceと連携し、搾取者の身元を確認するとともに、フランスの法執行機関に苦情を申し立てた。
4. Safemoon セーフムーン(900万ドル)
これも詳細がわかっていないハッキングの一例です。おそらく運営母体は、脆弱性を把握していますが、公表していないだけの可能性もあります。
背景
DeFiプロトコルのSafemoonは先月、重大なセキュリティ侵害に見舞われた。ハッカーがSafemoonのスマートコントラクトの欠陥を操作して流動性プールを流出させ、約900万ドル相当のSFMトークンを盗んだのだ。この悪用とその後のハッカーとの取引は、2023年4月18日頃に公になった。
Safemoonハックの経緯
攻撃者はSafemoonのスマートコントラクトの脆弱性を悪用し、流動性プールを流出させた。欠陥の具体的な詳細や悪用の仕組みは明らかにされていないが、SFMトークンの大幅な損失をもたらし、プロトコルとそのユーザーに大きな影響を与えた。
失われた資金
この悪用により、Safemoonの流動性プールから約900万ドル相当のSFMトークンが盗まれました。失われた資金の正確な金額はオンチェーンデータから割り出され、プロトコルに与えた財務的影響の深さを明らかにしました。
資金の回収
やや型破りな解決策として、悪用者は盗まれた資金の80%(710万ドル相当)を返還することに合意しました。この合意はSafemoonの開発者とハッカーの間で成立し、オンチェーン取引によって盗まれた資産の返還が確認されました。この取引と合意の詳細はBinanceのスマートチェーンブロックエクスプローラーで確認することができます。
リスクを軽減する方法
今回の事例は、悪用される前に脆弱性を特定し修正するための厳格なスマートコントラクト監査と強固なセキュリティプロトコルの重要性を改めて強調している。開発者とユーザーは、悪用と損失のリスクを軽減するために、DeFiプロトコルのセキュリティとスマートコントラクトの完全性について警戒し続けるべきである。定期的な監査、セキュリティ評価、コミュニティの警戒は、潜在的な脆弱性を特定し、DeFi空間内の資産のセキュリティを確保する上で極めて重要である。
最終的な解決
この事件の最終的な解決は、かなり異例なものだった。このハッカーはSafemoonの開発者と取引を行い、盗まれた資金のうち710万ドルを返却する一方、20%をバグ報奨金として保持した。さらに、Safemoonの開発者はハッカーに対して告訴しないことを確認し、懲罰的な行動よりも失われた資産の回復を優先した友好的な解決を示唆した。SafemoonのSFMトークンは、解決後過去24時間で2.8%の値上がりを目撃しており、この開発に対する市場の好意的な反応を示している。
5. LendHub(600万ドル)
背景
クロスチェーンのDeFiレンディング・プラットフォームであるLendHubは、2023年1月に重大なセキュリティ侵害に見舞われ、攻撃者が同プラットフォームのプロトコルを悪用して約600万ドルを不正に取得した。
レンドハブの情報漏洩の経緯
この事件は、アップデートの際に非推奨トークンを市場から正確に削除しなかったために発生した。LendHubは独自のComptrollerコントラクトを持つ新バージョンのIBSVトークンを導入しましたが、古いトークンを削除しませんでした。その結果、両トークンは同じ価格で市場で有効なままでした。
この冗長性により、攻撃者は旧市場で造幣局と償還機能を操作し、新市場でローンを確保することができ、2つの市場間で負債計算に不一致を生じさせ、新トークンから約600万ドルの価値を引き出すことを可能にした。
失われた資金
ハッカーは、新旧のトークン契約間の不一致を悪用して、約600万ドルを吸い上げることに成功した。
資金の回収
公表はされていませんが、おそらく資金の回収はできなかったと思われます。
このタイプのリスクを軽減する方法
この攻撃から得られた教訓は、このような脆弱性や悪用を防ぐために、非推奨のトークンやコントラクトを更新・削除する手順を綿密に行うことの重要性を強調している。
6. バランサー($238K)
背景
Ethereumブロックチェーン上で動作するDeFiプロトコルであるBalancerは、8月22日に重大な脆弱性に関する事前の警告が発せられ、その数日後に推定200万ドルのエクスプロイトにつながった。
バランサーハックの経緯
これはフロントエンド、つまりDEXのホームページが書き換えられることで発生しました。詳しい攻撃の詳細はまだ調査中なようです。しかし、報告によると、バランサーのユーザー・インターフェースとやりとりしていたユーザーは、悪意のある契約を承認するよう促され、それが承認されると、ユーザーのウォレットから資金が流出したという。ユーザーがウェブサイトを開くと、最も多額の資金を保有しているブロックチェーン・ネットワーク(チェーン)を変更するよう求められ、詐欺取引につながり、そのトランザクションを承認してしまうと、それを奪われてしまうというものでした。
失われた資金
バランサーは公式にユーザー資金の紛失を確認しておらず、投稿者はバランサーの保管庫は安全であると保証しているが、PeckShieldやブロックチェーンアナリストのZachXBTを含むブロックチェーンセキュリティ企業は、報告時点で少なくとも23万8000ドルの暗号が盗まれたと推定している。
資金の回収
現在、資金の回収に関する情報はない。バランサーは、追って通知があるまでユーザーインターフェイスを操作しないようユーザーに勧告しており、状況を調査し修正するための措置を講じているようだ。
リスク回避方法
ユーザーは、DeFiプラットフォームとやりとりする際、特に契約の承認やブロックチェーンネットワークの変更を促される際には、細心の注意を払うよう警告されます。つまり何も考えずに承認ボタンを押さないようにしましょうということですが、実際対策は難しいですからね、
7. フィリピンを拠点とする暗号取引所Coins.ph(600万ドル)
背景
2023年10月17日、フィリピンを拠点とする暗号取引所Coins.phがエクスプロイトの被害に遭った。
Coins.phハッキングの経緯
攻撃の詳細は不明なのですが、ハッカーは30分以内に999,999.999 XRPを13回素早く交換した。約1,220万XRPを手にしたハッカーは、OKX、WhiteBIT、OrbitBridge、SimpleSwap、ChangeNOW、Fixed Floatなどの様々なプラットフォームを通じて資産を送金した。
失われた資金
このハッキングにより、1,200万XRPトークン(600万ドル相当)以上が失われました。
資金の回復
Coins.phは、侵害されたアドレスを特定した後、445,000 XRPをブロックするという迅速な措置を取った。WhiteBITは、盗まれたXRPアドレスを追跡するために、ブロックチェーン分析会社のCristalとChainalysisと協力し、調査中のようです。
ソーシャルメディアで狙われるハッキング
8. 暗号クジラの謎(1000万ドル)
背景
Tayとして知られるMetaMaskの開発者がTwitterで報告したように、多数の暗号クジラや初期の暗号投資家を狙った謎のハッキングが発生した。この不正行為はTayによって検出され、共有されましたが、具体的な日付は言及されておらず、影響を受けたウォレットは2014年から2022年の間に作成されたことを示しています。
暗号クジラの謎の経緯
被害者の唯一の共通点は、彼らのウォレットが2014年から2022年の間に作成されたということです。このハッキングはMetaMaskユーザーだけのものではなく、イーサリアムのプレセールのために作成されたものやハードウェアウォレットで作成されたものを含む、すべてのウォレットのユーザーが影響を受けている。ハッカーは盗んだ資金をビットコインに変換し、コインミキサーを使って痕跡を隠した。
失われた資金
5,000以上のETH(現在の為替レートでは1,000万ドル近くの価値)を含む1,000万ドル以上のETHとその他のトークン、そしてEVM互換の異なるブロックチェーンにまたがる非公開の数のその他のトークンとNFTが、多数の被害者から流出しました。
資金の回収
資金の回収はできていません
リスクを軽減する方法
MetaMaskの開発者であるTayは、すべての資産を失うリスクを軽減するために、資産を異なるウォレットに分散するよう暗号ユーザーに助言した。すべての資産を単一の鍵や秘密のフレーズに長期間保管しないことが強調された。
最終的な解決
このハッキングは依然として懸念事項であり、どのように実行されたかの詳細はまだ不明である
9. Kucoinのツイッター・スキャンダル ($23K USDT)
背景
著名な暗号通貨取引所であるKuCoinは、2023年4月24日にセキュリティ侵害を経験した。この事件は、同プラットフォームの公式ツイッターアカウントが侵害され、ユーザーの資産喪失につながった。
Kucoinのツイッター・スキャンダルの経緯
ハッカーはKuCoinのツイッター・アカウントに不正アクセスし、約45分間そのアカウントを支配した。この間、彼らはアカウントの影響力を利用してプラットフォームのユーザーを欺き、詐欺行為を宣伝した。ハッカーは、偽のプレゼントやその他の詐欺的なスキームについて投稿し、ユーザーに悪意のあるアドレスに資金を送らせました。
失われた資金
この不正行為により、ETHやBTCを含む22件の取引が詐欺的なプロモーションに関連して行われた。この事件の結果、累積損失は22,628USDT以上に達しました。
資金の回収
セキュリティインシデントの後、KuCoinは侵害されたツイッターアカウントのコントロールを速やかに回復することができました。同プラットフォームは、影響を受けたユーザーに対し、インシデント中に発生した損失を返済することを表明しました。KuCoinは現在、徹底的な調査を実施しており、盗まれた資金の受け取りに関与した疑わしいアドレスをブロックする措置を開始しています。
リスクを軽減する方法
普段から目を養いましょうというぐらいしか方法がないのですが、Binanceが仮にあり得ないような話が美味しすぎるプロジェクトを紹介してきたら、注意しましょうね
最終的な解決
Twitterがハッキングされることも念頭に置いて、取引所は運営していくべきとのことです。
スマート・コントラクトを狙ったハッキング
10. Bonq DAO(スマートコントラクト)(1億2000万ドル)
背景
2023年2月、小規模な分散型自律組織(DAO)であるBonqDAOが、オラクルハックによるスマートコントラクトの重大なエクスプロイトを受け、そのプロトコルから推定1億2000万ドルの損失が発生した。
Bonq DAOのハッキングの経緯
この事件は、悪用者がBonqDAOのスマートコントラクトの1つのオラクルを操作し、更新価格関数の変更を可能にしたときに発生しました。これにより、彼らはAllianceBlock(ALBT)トークンの価格を操作し、大量のBEURを鋳造することができました。その後、BEURはUniswapで他のトークンと交換され、価格はほぼゼロまで下落し、ALBTトークンの清算を引き起こした。
失われた資金
このハッキングによる損失は約1億2000万ドルと推定され、その内訳は9865万BEURトークンによる1億800万ドルと、1億1380万ラップALBT(wALBT)トークンによる1100万ドルだった。このエクスプロイトに関与した最大の取引は8,219万ドルだった。
資金の回収
BonqDAOはプロトコルを一時停止し、回復ソリューションに取り組みました。ALBTトークンの発行元であるAllianceBlockは、Bonq andhalted取引所取引におけるすべての流動性を削除するプロセスを進めており、発表の時点まで、エクスプロイトの影響を受けた人々に新しいALBTトークンを鋳造する予定です。
リスクを軽減する方法
オラクルの保護は、スマートコントラクトの監査、マルチシグネチャウォレットの実装、最新のソフトウェアの維持、ベストセキュリティプラクティスに従うことで行うことができ、このようなリスクを軽減するのに役立ちます。
最終的な解決
Bonqプロトコルは一時停止され、BonqDAOとAllianceBlockの両社は、リカバリソリューションのリリースや影響を受けたユーザーのための新しいALBTトークンの鋳造など、エクスプロイトの影響に対処するためのソリューションに取り組んでいます。
11. Deus Financeデウスファイナンス(600万ドル)
背景
2023年5月、Decentralized Finance (DeFi)プロトコルのDeus Financeがセキュリティ侵害に遭い、安定コインDEIで600万ドル以上の損失が発生した。
デウスファイナンスの発生経緯
攻撃者はBNBスマートチェーン(BSC)の脆弱性を悪用し、130万ドル以上の損失を引き起こした。ボットがBSCのハッキングを開始し、その後Arbitrumネットワークが標的にされ、ARB/ETHのデプロイメントが500万ドル以上の損失を被った。トークンコントラクトの基本的な実装ミスが根本的な原因であったと報告されている。
失われた資金
BNB Smart Chainの脆弱性により130万ドル以上が失われ、Arbitrumネットワーク上のARB/ETHデプロイメントにより500万ドル以上が失われた。
資金の回収
攻撃後、Deus Financeはすべての契約を一時停止し、さらなる被害を防ぐためにDEIトークンを燃やした。チームは、DEIトークンの実際の裏付けを理解する過程にあることを確認し、残高とスナップショットの完全な分析の後、「包括的な回復と償還計画」に取り組んでいます。
ウォレットを狙ったハッキング
1. LastPassウォレットハック(3900万ドル)
背景
パスワード・ストレージ・ソフトウェアとして広く利用されているLastPassは、2022年に重大な情報漏洩に見舞われ、そのユーザー、特に暗号コミュニティのユーザーにとって深刻な影響を及ぼした。
LastPassのハッキングの経緯
攻撃者は、2022年8月に発生した情報漏えいの情報を活用し、LastPassの従業員をターゲットにした。これにより、従業員の認証情報を盗み出し、保存されていた顧客情報を解読した。攻撃者はまた、暗号化された顧客データ保管庫のバックアップを盗むことに成功しました。このデータは、アカウントのマスターパスワードに対する総当たり攻撃を受けると、復号化される可能性があります。
資金の損失
この侵害により、暗号利用者は多額の金銭的損失を被った。当初、被害者から3500万ドル以上の暗号通貨が盗まれた。最近の事件では、80のウォレットで25人から440万ドルの暗号が流出した。合計で約150人の被害者が出た。
資金の回収
できていない。
リスクを軽減する方法
ZachXBTを含む専門家は、LastPassに暗号関連の情報を保存しているユーザーに対し、さらなる損失を避けるため、直ちに資産を移すよう助言している。
最終的な解決
情報漏洩の後、LastPassは法的な問題に直面した。2022年8月の情報漏洩により、約53,000ドルのビットコインが失われたとして、1月に集団訴訟が提起された。この事態は、評判の高いパスワード管理ツールにも脆弱性が存在することを浮き彫りにした。
12. ビットリュー取引所強盗(2300万ドル)
背景
Bitrue Exchangeは2023年4月14日にセキュリティ侵害に見舞われた。この暗号通貨取引所は、脆弱性が悪用され、不正アクセスや資金流出を許していたことを迅速に特定し、修正した。
経緯
脆弱性を悪用した正確なメカニズムや方法に関する詳細は明らかにされていない。しかし、セキュリティ上の欠陥がBitrueによって速やかに発見されたため、取引所は迅速に対応し、脆弱性を修正し、さらなる不正アクセスや資金流出を回避することができました。
失われた資金
攻撃者は約2,300万ドル相当のデジタル資産を引き出すことに成功しました。盗まれた資産には、Ether (ETH)、Quant (QNT)、Gala (GALA)、Shiba Inu (SHIB)、Holo (HOT)、Polygon (MATIC)など様々な暗号通貨が含まれていた。
資金の回収
Bitrueは直ちに、予防措置としてすべての引き出しを停止し、4月18日に再開する予定です。漏洩したウォレットにはBitrueの総準備金の5%未満しか含まれていませんでした。同社は、サイト上の他のウォレットがこのインシデントの影響を受けていないことを確認し、侵害の全体的な影響を緩和しました。
リスクを軽減する方法
今回の事件は、デジタル資産に内在するリスクを浮き彫りにし、暗号通貨セクターにおける強固なセキュリティ対策の必要性を浮き彫りにしました。ユーザー資産を保護し、投資家の信頼を維持するため、取引所は、特に業界が拡大し続ける中、プラットフォームのセキュリティを優先することが強く求められている。
最終的な解決
不正アクセスは食い止められ、さらなる不正アクセスを防止するためのセキュリティ対策が実施された。この出来事はデジタル資産の脆弱性を強調する一方で、迅速な対応と厳格なセキュリティ・プロトコルの導入の重要性を浮き彫りにした。同取引所は通常業務を再開しており、デジタル資産セクターの完全性と信頼を維持するための強固なセキュリティ・フレームワークの緊急性と重要性を強調している。
13. ソーシャルエンジニアリングによるハッキング(400万ドル)
背景
トラストウォレットは最近、Web 3の領域で事業を展開するWebaverse社から400万ドルを詐取するという重要なソーシャルエンジニアリングの試みに関与しています。この事件は、対面でのやり取りを含む洗練された手法に関与しており、イタリアのローマで組織的な犯罪組織によって実行されました。
ソーシャル・エンジニアリングによるハッキングの手口
この犯罪組織はソーシャルエンジニアリングの手口を使ってWebaverseを操り、マルチシグネチャーのトラストウォレットからシングルシグネチャーのウォレットに400万ドル相当のUSDCを送金させました。マルチシグネチャーのウォレットでは、1つの取引に複数の秘密鍵が必要となります。犯人は偽造のKYCと悪意のある電子版の秘密保持契約書を提供し、被害者を説得した。その後、犯人は取引後の被害者の財布を撮影することで送金を確認し、その後姿を消した。
失われた資金
Webaverseはこのソーシャル・エンジニアリング攻撃で400万ドルを失いました。犯人はその後、盗んだ資金を様々な場所にばらまき、ETHに交換し、ビットコインとUSDTを包み、その後14の異なるアドレスに送金し、あるアドレスは盗んだ暗号通貨の83%を保有していた。
資金の回収
資金が回収されるかどうかはまだ不明である。
リスクを軽減する方法
このような事件を防ぐため、Trust Walletは、安全でないHTTP接続、特に海外旅行中に公共のWiFiホットスポットで提供される接続を介してログイン認証情報を入力しないよう推奨している。ユーザーは、フィッシングの試みに注意し、特に送金や機密情報の共有が含まれる場合は、リクエストの信憑性を確認することが重要です。
最終的な解決
この事件後、Trust WalletとWebaverseの共同設立者であるAhad Shamsは、犯人がどのようにしてウォレットの秘密鍵にアクセスすることなく盗難を行うことができたのかを理解する過程にある。
14. MyAlgo(顧客情報)
背景
暗号通貨ウォレットプロバイダーであるMyAlgoがセキュリティ侵害に遭い、複数のユーザの秘密鍵とパスワードが漏洩した。
MyAlgoハックの経緯
最初の調査結果によると、攻撃者は中間者(MITM)攻撃を展開し、悪意のあるプロキシを作成することで、MyAlgoのウォレットウェブアプリとユーザーの間に悪意のあるコードを注入することに成功しました。この修正されたMyAlgoのコードは、ユーザーのパスワードと秘密のフレーズを取得し、攻撃者のサーバーにそれらを中継するように設定されていました。
失われた資金
失われた資金の詳細な金額については明確に言及されていないが、数百人の被害者が確認されています。
資金の回収
回収できていません
リスクを軽減する方法
MyAlgoのチームは、ユーザーがMyAlgoのパスワードを直ちに変更することを推奨し、このような侵害の被害に遭わないよう、秘密鍵やシードを扱う最も安全な手段としてLedgerハードウェアウォレットの使用を提唱しています。
最終的な解決
調査はまだ進行中ですが、MyAlgoはすべての漏洩したアカウントを発見し、さらなる不正アクセスを阻止し、法執行機関と協力して事態の収拾に努めています。
15. スターズ・アリーナ・ハック(300万ドル)
背景
AvalancheのStars Arenaプラットフォームは、Avalancheコミュニティの間で人気でした。有名なX(Twitter)のユーザーがトークンを発行できるプラットフォームで、ユーザーはクローズドなチャットルームにアクセスし、AVAXトークンを取引することができた。Friend.Techのようなものでした。
ハッキングの経緯
2023年10月7日、プラットフォーム上でAVAXトークンを保護するスマートコントラクトが悪用の標的となり、Stars Arenaは数百万ドルの資金を失った。このエクスプロイトにより、ハッカーはロックされた資金のほとんどを盗むことができ、その過程で300万ドル相当のAVAXトークンを失いました。
失われた資金
Avalancheの300万ドル相当のAVAXトークンが攻撃で失われ、Stars Arenaは事件後わずか1ドル弱の資金しか残らなかった。この大きな金銭的損失は、プラットフォームとそのユーザーの両方に悪影響を及ぼした。
資金の回復
セキュリティ・インシデントの後、10月11日、Stars Arenaは、奪われた266,000のAVAXトークンの約90%、つまり約300万ドルが回収されたとのメッセージをX上で発表した。
プロトコルはハッカーと合意に達し、27,610AVAX、約257,000ドルの報酬を支払うことができた。この金額には、ハッカーがブリッジに置き忘れた1000AVAXトークン(9000ドル相当)の払い戻しも含まれていた。
終わりに
どうでしたか? ここまで読んでくれた人はブロックチェーンのプログラマーに向いてると思います。定期的にセミナーなどしてるので、興味がある人はDMしてください!