2024 年の暗号通貨における最大のハッキング試み 7 件

このテキストでは、2024 年上半期に分散型金融 (DeFi) 分野で発生した 3 つの個別のハッキング事件について説明します。各事件にはスマート コントラクトの脆弱性に対する高度な攻撃が含まれており、影響を受けたプラットフォームとそのユーザーに多大な経済的損失をもたらしました。

2024年上半期には、仮想通貨と分散型金融（DeFi）の両分野で注目すべきハッキング事件がいくつか発生し、総額7億5000万ドルを超える経済的損失につながった。

「PlayDapp」の大規模なハッキングにより 2 億 9,000 万ドルの損失が発生し、FixedFloat に対する高度な攻撃により 2,610 万ドルの利益がもたらされたことは、分散型金融 (DeFi) および暗号セクター内で警戒を怠らず、セキュリティ プロトコルを強化することの重要性を浮き彫りにしています。 。

ブロックチェーンのセキュリティは大幅に向上し、潜在的なリスクに対する認識が高まっていますが、ハッカーはスマート コントラクト、鍵管理システム、プラットフォーム セキュリティの脆弱性を執拗に狙っています。

これらの出来事は、金銭面での重大な後退を引き起こすだけでなく、主流市場における分散型金融（DeFi）と暗号通貨の急速な成長と幅広い受け入れに重大な障害を課すことにもなります。

2024 年の仮想通貨と DeFi ハッキングのトップ 7 を明らかにする: ハッカーのテクニック、影響、復旧計画の詳細な調査

1. PlayDapp ハッキング: 2 億 9,000 万ドルの損失

2024年2月の「PlayDappハッキング」エピソードは、2024年に発生した最も顕著な暗号侵害の1つとして注目に値します。

2024 年 2 月 9 日と 12 日、広く使用されている仮想通貨ゲーム プラットフォームである PlayDapp で 2 つの重大なハッキングが発生しました。これらの事件で盗まれたデジタル資産の総額は約2億9,000万ドルと推定されており、現代最大の暗号通貨強盗の一つに数えられる。

どうしたの？

PlayDapp ハッキングは、スマート コントラクトのアクセス制御の脆弱性に端を発しました。この弱点により、侵入者に新しい人民解放軍トークンを製造する権限が与えられず、2 月 9 日の最初の攻撃で約 2 億個のトークンを製造することになりました。

攻撃者はアクセス制御の弱点を悪用し、標準的なセキュリティ対策を回避して異常に大量の PLA トークンを生成することに成功しました。生成されたトークンは18億に達し、流通した当初の供給量5億7,700万をはるかに上回りました。この新しく作成されたトークンの急増は、既存のトークンの価値の下落につながり、市場に混乱を引き起こしました。

インパクト

PlayDapp ハッキングによる経済的影響は推定約 2 億 9,000 万ドルに達しました。この事件はトークンの価値と市場の信頼性の大幅な低下を引き起こし、プラットフォームの財務基盤とユーザーの信頼に大きなダメージを与えました。

不当な PLA トークンが市場に溢れた結果、過剰供給が発生し、その後、過飽和によるトークン価値の大幅な減少を引き起こしました。

応答 

攻撃を検知すると、PlayDapp は状況を徹底的に調査するため、すべてのトークン取引を迅速に停止しました。その後、チームは侵害の原因を特定することに着手し、スマート コントラクトのアクセス制御の抜け穴を修復することで将来の悪用を防ぐ措置を講じました。

PlayDapp は、影響を受けるユーザーに対して適切な対応を行う計画を発表しました。問題が発生する前に、彼らは本物のトークン所有者を識別し、公平な償還を保証するためにブロックチェーンのステータスの写真を撮影しました。さらに、いくつかの取引所やセキュリティ提携団体との提携を通じて、盗難された資金を追跡、固定化、回収する取り組みも実施されました。

2. DMM ビットコイン: 3 億ドルの損失

5月31日、日本の証券会社DMMが運営する有名な仮想通貨取引所DMM Bitcoinで異常なセキュリティインシデントが発生し、その時点で約3億ドルに相当する4,502.9ビットコインが盗難されました。

何が起こったのですか?

仮想通貨投資家として、DMM ビットコイン強盗は複雑なスキルを組み合わせて利用された可能性があると考えています。この攻撃では、盗まれた秘密鍵が重要な役割を果たした可能性があります。これは、内部関係者の脅威や、高度なフィッシング詐欺などの他の手段によって達成された可能性があります。さらに、資金をだまして攻撃者のウォレットにリダイレクトするために、アドレス スプーフィングが使用された可能性があります。

さらに、マルチシグネチャ 2-of-3 スキームの適用は、攻撃の計画と実行における高度な高度な技術を明らかにしており、内部知識またはエリート ハッキング スキルを持つ個人の関与を示唆しています。

攻撃者が実行する可能性のある手順は次のとおりです。

1.公開された秘密キー

このセキュリティ侵害では、マルチシグネチャ設定で 3 つの秘密キーのうち 2 つを取得する必要がありました。これは、内部関係者の脅威や外部のハッキングの試みに起因する可能性のある、かなりのレベルの複雑さと潜在的なアクセスを意味します。

2.アドレスポイズニング

このハッキング シナリオでは、ハッカーの新しいアドレスが過去のトランザクションを欠いているという斬新さにより、アドレス ポイズニングが発生した可能性は低くなりました。アドレスポイズニングは、悪意のある攻撃者が正規のアドレスに似た偽のアドレスを導入することで取引履歴を巧妙に操作し、最終的には疑いを持たないユーザーから資金を誤った方向に誘導する戦術です。

3.アドレススプーフィング

ハッカーのアドレスは、DMM に属する既知のビットコイン ウォレット アドレスの 1 つに非常に似ています。それぞれのアドレスは次のとおりです。

• DMM ビットコイン ホット ウォレット: 1B6rJ6ZKfZmkqMyBGe5KR27oWkEbQdNM7P
• ハッカーのアドレス: 1B6rJRfjTXwEy36SCs5zofGMmdv2kdZw7P

セキュリティの脆弱性を研究している研究者として、私はアドレス検証に関連する懸念すべき問題に遭遇しました。各アドレスを 1 文字ずつ完全にチェックするのではなく、最初と最後の文字だけを確認するという、より単純な方法を選択するユーザーもいます。部分アドレス検証として知られるこのアプローチでは、残念なことに、攻撃者が変更されたアドレスでユーザーをだますことが容易になり、セキュリティ侵害のリスクが高まります。

4.インサイダー攻撃

システムへのアクセスを許可された内部関係者がトランザクションを調整するという別のシナリオも存在します。この人物は、DMM Bitcoin ホット ウォレットのアドレスに似たウォレット アドレスを使用して資金を受け取った可能性があります。その結果、このカモフラージュのおかげで、システムへの侵入はしばらくの間気付かれなかった可能性があります。

攻撃トランザクションの分析

• 攻撃トランザクションは、「攻撃トランザクション」に記録されます。
• 攻撃後、他の資金はDMMアドレスに残り、後にDMM Bitcoinに属する他のアドレスに転送されたことから、資金の移動が制御されていることがわかります。

応答

このハッキングを受けて、DMM Bitcoinは、親会社であるDMMグループからの財政支援を活用して、失われたビットコインの復元に取り組むと発表した。

同取引所は6月3日までに50億円（約3,200万ドル）を借り入れており、6月7日までにさらに480億円（3億760万ドル）を確保し、6月10日にはさらに20億円（1,280万ドル）を獲得する予定だった。その結果、借入総額は約3億5,240万ドルとなった。

仮想通貨投資家として、DMM Bitcoin が盗難されたビットコインを回収し、この問題について徹底的な調査を行うために積極的な措置を講じていることを理解しています。そうすることで、より広範な仮想通貨市場への潜在的な混乱を最小限に抑えることを目指しています。

3. FixedFloat 侵害: 2,610 万ドルの損失

2024 年 2 月、分散型暗号通貨取引所であるFixedFloat は重大なサイバー攻撃を受け、約 2,610 万ドルの損失をもたらしました。この事件は、今年の最初の数か月間で暗号通貨業界で最も重大なハッキングの 1 つとしてランク付けされています。

どうしたの？

FixedFloat のセキュリティ インシデントの原因は、プラットフォームの基礎となるスマート コントラクトの欠陥でした。この不完全性がハッカーによって利用され、プロトコル内の制限された機能を呼び出して不正な取引を実行できるようになり、その結果、取引所から多額の暗号通貨の保有が移転されました。

攻撃戦略の詳細はまだ調査中ですが、攻撃者はフィッシング詐欺、ソーシャル エンジニアリング戦術、スマート コントラクト操作などの多面的なアプローチを使用したと一般に考えられています。考えられる一連のイベントは次のとおりです。

どうしたの？

1.フィッシングまたはソーシャル エンジニアリング

侵入者は、最初からフィッシング詐欺やソーシャル エンジニアリングなどの欺瞞的な方法を使用して、重要なログイン詳細や暗号化キーを不法に入手した可能性があります。

2.スマート コントラクトの悪用

システム内部で、侵入者がスマート コントラクトの弱点を発見し、それを利用しました。これにより、セキュリティ プロトコルを回避し、不当なトランザクションを実行することが可能になりました。

3.資金移動

ハッカーは、FixedFloat プラットフォームと個人ウォレットの間で総額約 2,590 万ドルの移動に成功しました。この金額には、約 485 万ドル相当の 1,728 イーサ (ETH) と、約 2,100 万ドル相当の 409 ビットコイン (BTC) が含まれています。

インパクト

このFixedFloatデータ侵害による全体的な金銭的影響は約2,610万ドルでした。この大幅な損失はプラットフォームの流動性に影響を及ぼし、ユーザーベースの信頼を損ないました。

データ漏洩は、FixedFloat に対するユーザーの信頼と投資家の確信を著しく低下させました。同社は、セキュリティインシデントの管理に関して厳しい批判にさらされ、特に当初のオープン性の欠如と、侵害に関するユーザーベースへの更新の遅れにより、厳しい批判にさらされた。

4.オービットチェーンのハッキング: 8,000 万ドルの損失

2024 年 1 月 2 日、残念なことに、私は投資していた韓国のブロックチェーン プロジェクトである Orbit Chain でハッキングの被害者になりました。この攻撃により、8,000 万ドル以上相当の暗号通貨が盗まれ、多大な損失が発生しました。この侵害は、侵害されたマルチシグ署名者に遡り、攻撃者はそれを悪用して、ステーブルコイン、ラップビットコイン (WBTC)、イーサ (ETH) などのさまざまなデジタル資産を流出させました。その後、当局が盗まれた収益を追跡するのを困難にするために、資金はミキサーを通じて洗浄された。

セキュリティ アナリストとして、私はこれを次のように言い換えます。2024 年 1 月 15 日、私は Orbit Chain で別の重大なセキュリティ インシデントが発生したことを確認しました。侵入者は、異なるブロックチェーン間の資産転送を容易にするメカニズムであるクロスチェーン ブリッジ プロトコルの弱点を利用しました。その結果、ビットコイン（BTC）、イーサリアム（ETH）、複数のステーブルコインなどのデジタル資産を抽出することに成功しました。

どうしたの？

1. 脆弱性の悪用

敵対者は、クロスチェーン ブリッジのスマート コントラクトに重大な弱点があることを特定しました。この欠陥を利用して、ブロックチェーン間で移動される資産に不正に侵入できました。

2. スマートコントラクトの操作

この弱点を利用して、サイバー犯罪者はスマート コントラクトのルールに不正な影響を与え、偽のトランザクションを生成しました。これらの取引は資産を本物の受取人に移したように見えましたが、実際には資産は密かにハッカー自身の口座に転送されていました。

3. 迅速な実行

ハッカーは迅速に攻撃を実行し、プラットフォームの監視システムによる検出を回避するために短期間に多数の取引を実行しました。

インパクト 

セキュリティ問題が特定されると、Orbit Chain は潜在的な損害を最小限に抑えるために、すべてのクロスチェーントランザクションを停止し、プラットフォームを一時的にシャットダウンするという迅速な措置を講じました。

セキュリティアナリストとして、私は多くのユーザーが大幅な経済的挫折を経験し、最近のサイバー攻撃を受けてプラットフォームへの投資をすべて失ったユーザーさえいるのを観察してきました。この不幸な事件は、分散型金融（DeFi）プラットフォームとクロスチェーンテクノロジーに対する多くの人の信頼を大きく揺るがしました。

Orbit Chainの発表を受けて、そのネイティブトークンであるORCの価値は60％以上下落した。投資家が他の分散型金融（DeFi）プロジェクトの弱点の可能性に警戒を強めたため、この下落はより大きな仮想通貨市場でも見られた。

5. Shido のエクスプロイト : 5,000 万ドルの損失

2024 年 3 月 5 日、レイヤー 1 プルーフ オブ ステーク (PoS) ブロックチェーンである Shido は、約 5,000 万ドルの SHIDO トークンの盗難につながる大規模なセキュリティ侵害に見舞われました。

侵入者はコントラクトの所有権の変更を利用し、ステーキング コントラクトを更新するためにdrawToken 関数を密かに利用できるようにしました。この秘密行動により約 43 億の SHIDO トークンが失われ、30 分以内に約 94% という大幅な価格下落を引き起こしました。

2024 年 3 月、Shido 分散型金融 (DeFi) プラットフォームが大規模な侵害に見舞われ、約 5,000 万ドルの暗号通貨が盗難されました。

2024 年 3 月 12 日、Shido はスマート コントラクト コーディングの弱点を発見し、悪用した狡猾なサイバー犯罪者の被害に遭いました。これらのハッカーはプラットフォームの流動性プールをうまく操作し、多額の資金を失いました。

どうしたの？

1.脆弱性の特定

契約アナリストとして、私は攻撃者が流動性プールを管理する Shido のスマート コントラクト内に隠された脆弱性を発見したことを発見しました。この弱点を悪用することで、標準的な検証プロセスをトリガーせずにトランザクションを実行できました。

2.フラッシュローン攻撃

攻撃者はフラッシュ ローンを利用して、担保としての担保を提供することなく、多額の暗号通貨を入手しました。その後、彼らは取得したこれらの資金を Shido の流動性プール内の価格操作に利用しました。

3.価格操作

ハッカーは人為的な価格変動を操作することで、スマートコントラクトをだまして資産を過大評価または過小評価させました。その結果、彼らは歪んだレートでトークンを交換することができ、本質的にプラットフォームの流動性を使い果たしました。

4.資金の抽出

価格調整と資産交換の後、犯人は取引の起源を隠すために盗んだ資金を複数の外部デジタルウォレットに迅速に移動させました。

インパクト

Shidoの流動性プールに資金を投資していた個人は多額の損失を被った。 Shido 独自のトークンである SHD の価格は 70% 以上下落し、プラットフォームに対する信頼の低下につながりました。

6. Radiant Capital Hack: 450 万ドルの損失

2024 年 1 月 3 日、Radiant Capital はフラッシュ ローン攻撃を受け、約 450 万ドルの財務的損失につながりました。犯人は、丸め誤差と呼ばれるコーディングの見落としによって引き起こされた、プロトコルの価格操作の弱点を利用しました。このインシデントは、リスクを最小限に抑えるために既存のコードベースをフォークする前に包括的なセキュリティ監査を実施することの重要性を強調しています。

どうしたの？

分散型金融（DeFi）業界を研究している研究者として、私は1月にRadiant Capitalで発生した重大な事件に遭遇しました。この分散型金融 (DeFi) プラットフォームでは重大なセキュリティ侵害が発生し、約 9,000 万ドル相当のデジタル資産が残念ながら損失しました。このハッキングは、今年のDeFi分野におけるその規模と洗練さから注目に値し、分散型金融プロトコルに潜む潜在的な脆弱性に対する監視が強化されました。

2024 年 4 月 22 日、Radiant Capital は高度なサイバー攻撃の犠牲になりました。この攻撃は、スマート コントラクト設計のいくつかの弱点を悪用することに成功しました。侵入者はセキュリティ保護を巧みに回避し、さまざまな流動性プールから資金を空にしました。

侵入者は、Radiant Capital のスマート コントラクト システムの重大な弱点を発見しました。この脆弱性を悪用して、取引の検証を妨害し、最終的にはプラットフォームの財務リソースへの不正な侵入を確保することができました。

仮想通貨投資家として、私はこのことを次のように説明します。1 月 3 日、精通した攻撃者が Radiant Capital のスマート コントラクト内に隠された脆弱性を発見して悪用したという、予期せぬ事態の展開に遭遇しました。襲撃は単純なものではなく、いくつかの段階からなる複雑なものでした。まず、彼らは購買力を高めるためにフラッシュローンを利用しました。次に、彼らは自分たちに有利になるように価格を操作しました。最後に、彼らはスマート コントラクトの再入バグを最大限に利用し、盗まれた資金を簡単に引き出すことができました。この高度な手法により、攻撃者は盗まれた大量の資産を蓄積することができました。

インパクト

勤勉な研究者として、私は興味深い発見を発見しました。観察力のある個人のチームがプラットフォーム上での不規則な動作を検出しました。悪意のある攻撃者は、Radiant Capital のスマート コントラクト コード内の脆弱性を悪用し、流動性プールから資金を吸い上げることができました。

この強盗では、フラッシュ ローンや契約操作などの高度な手法が攻撃者によって使用され、影響を受けた推定数千人のユーザーから約 9,000 万ドルの資産が盗まれました。

研究者として資金盗難事件を調査していた私は、不正に得た利益がさまざまなデジタル資産のコレクションで構成されていることに気づきました。その中には、イーサリアム（ETH）やビットコイン（BTC）などの有名な暗号通貨も含まれていました。さらに、イーサリアム ブロックチェーン プラットフォーム上に構築されたさまざまな ERC-20 トークンもありました。

7. Concentric Finance ハッキング: 170 万ドルの損失

2024 年 1 月 22 日、Arbitrum ネットワーク上で稼働する分散型取引所アグリゲーターである Concentric Finance は、慎重に計画されたソーシャル エンジニアリング攻撃によって引き起こされた重大なセキュリティ インシデントを経験しました。その結果、約170万ドルの資産が流用された。

どうしたの？

侵入者は、狡猾なソーシャル エンジニアリング手法を使用して、Concentric の従業員を操作し、デプロイヤー ウォレットへのアクセスを明らかにさせました。その後、彼らはこのウォレットに関連付けられた重要な秘密キーを取得しました。

侵入者は破損したキーを使用して、Concentric のコントラクトに対して「adminMint」操作を開始し、新しい LP トークンを生成しました。その後、プラットフォームの準備金から資金を回収するために、これらの新しく作成されたトークンは破棄されました。この方法は、さまざまな ERC-20 トークンを取得するために繰り返し使用され、最終的にイーサリアムに変換され、3 つの別々のウォレットに転送されました。

インパクト

この攻撃では約 170 万ドル相当の資産が奪われ、そのかなりの部分がイーサリアムでした。

結論

DeFi業界のセキュリティ枠組みに対する懸念が高まる中、2024年上半期にDeFi業界は7億5000万ドルを超える損失を被った。それでも、挫折は貴重な教訓をもたらします。将来のリスクを最小限に抑えるには、いくつかのベスト プラクティスの実装を検討してください。

• STRK 予想・見通し・の予想. STRK 暗号通貨
• BLAST 予想・見通し・の予想. BLAST 暗号通貨
• BTC JPY 予想・見通し・の予想. BTC 暗号通貨
• XAI 予想・見通し・の予想. XAI 暗号通貨
• IO 予想・見通し・の予想. IO 暗号通貨
• USD CHF 予想・見通し・の予想
• ロシアで「最も美しいバイカー」が事故で死亡（写真）
• EUR USD 予想・見通し・の予想
• KDA 予想・見通し・の予想. KDA 暗号通貨
• BOME 予想・見通し・の予想. BOME 暗号通貨

2024-06-28 12:06