11月のWeb3セキュリティインシデント：合計36件、損失額5億9000万ドル

11月には大規模なWeb3ハッカー攻撃の件数はわずかに減少しましたが、攻撃の平均損失は大幅に増加しました。

執筆者: CertiK

2022年以降、Web3.0分野における詐欺、詐欺行為、脆弱性などによるセキュリティインシデントにより、約34億ドルの損失が発生し、今年は合計573件の攻撃が記録されています。

2022年11月、CertiKは合計36件の大規模攻撃インシデントを記録しました。前月に比べると微減ではあるものの、一回の攻撃あたりの損失は大幅に増加しました。 11月の大規模攻撃による平均損失は約1,655万1,000米ドル、10月の平均損失は約726万7,000米ドルでした。

出口詐欺案件数も今月は急増し、10月に比べて375.5%増加した。 11月には合計35件の事故が記録され、損失総額は約2,987万7,000ドルだったが、10月には26件の事故が記録され、損失総額は約720万ドルだった。

フラッシュローン攻撃の件数は8件で、前月に比べて半分の額でしたが、損失額は増加しており、10月はわずか100万ドルでしたが、今月は500万ドルが失われました。

また、ここ数か月で Discord および関連する詐欺プロジェクトの数が減少していることもわかります。今月は 12 件の事件が記録されましたが、8 月は 97 件、9 月は 57 件でした。

今月記録された62件の事件のうち、35件は出口詐欺、8件はフラッシュローン攻撃、19件は「その他」に分類された。

大規模攻撃

11月には36件の大規模な攻撃があり、これは6月の攻撃件数と同数です。 1回の攻撃による平均損失は約1,655万1,000米ドルで、10月の攻撃による平均損失726万7,000米ドルと比較すると大幅に増加しています。

今月最大の攻撃はFTXハッキングであり、総額4億7,700万ドルの損失をもたらした。 FTXが2022年11月11日に破産を申請した直後、FTXの顧問弁護士であるライン・ミラー氏は「異常な状況を調査中」とツイートした。翌日、ライン・ミラー氏はツイッターで、同社が「予防措置を開始」し、すべてのプロジェクト資産をコールドストレージウォレットに移したと報告した。これは、プロジェクト資産ウォレットがインターネットに接続されなくなったことを意味する。

ハッキングがどのように起こったかについては多くの説があるが、ほとんどの報道では内部犯行だったと示唆している。 FTXは今年2番目に大きな攻撃であり、3月のRonin Bridge （6億2,400万ドル）事件に次ぐ規模だった。 FTX事件は現在も捜査中であり、真相が明らかになるまでには相当の時間がかかると予想されます。

今月2番目に大きな攻撃は、2022年11月2日のDeribit取引所のホットウォレットの盗難でした。秘密鍵の漏洩により最大2,800万ドルの損失が発生し、2022年の秘密鍵漏洩事件としては3番目に大きなものでした。Derbit取引所は、損失は同社の準備金で補填されるため、ユーザーの資金には影響がないと述べました。 Derbit取引所は、「こうした出来事の影響を抑えるために、ユーザー資金の99%をコールドウォレットに保管している」と主張している。これとは別に、追加の手動確認が必要なため、ハッカーによる引き出しは不可能となり、この事件による業務への影響はないとしている。

2022年11月の3番目に大きな損失は、11月13日に発生したFlare Exit詐欺によるもので、損失総額は1,850万ドルでした。このプロジェクトにはソーシャルメディアアカウントはなく、Flare Networks とは一切関係ありません。現時点では、詐欺師たちは Tornado Cash を使用して資金をロンダリングしています。

出口詐欺

2022年11月、出口詐欺による損失は2,987万7,000ドルとなり、10月から375.5%増加しました。これらの損失は、CertiK によって確認された 35 件の事件によるもので、出口詐欺の件数は前月と比較して 40% 増加したことを意味します。

今年の11か月を振り返ると、そのうち6か月で出口詐欺による損失が600万ドルから800万ドルに上りました。とはいえ、11月に出口詐欺で多額の損失が出たのは異例だ。これは、 FLAREが今月に起こした出口詐欺による 1,850 万ドルの損失が、11 月の出口詐欺による損失の大部分を占めたためです。

さらに、CertiK が記録したデータによると、先月と同様に今月もプロジェクト資産のマネーロンダリングの事例が多数発生していますが、そのような事件は当社の月次統計には含まれていません。

フラッシュローン攻撃

今月は10月と比べフラッシュローン攻撃の件数は少なかったものの、被害額は増加しました。フラッシュローン攻撃は合計 8 件発生し、合計損失額は 600 万ドルに達しました。一方、10 月にはフラッシュローン攻撃が 16 件発生し、合計損失額は 100 万ドルに達しました。さらに、11 月の攻撃あたりの平均損失は 637,000 ドルでしたが、10 月の攻撃あたりの平均損失は 98,000 ドルでした。

今月最大のフラッシュローン攻撃は、DFX Finance への攻撃でした。

2022年11月11日午前4時、DFX Financeのスワップ契約が攻撃を受け、約500万ドルの損失が発生しました。

攻撃者は、スワップ契約の脆弱性を利用したフラッシュローンの仕組みを悪用し、契約にトークンを預けることでフラッシュローンの返済チェックを回避し、フラッシュローンの完了後に契約からトークンを引き出しました。この脆弱性は契約設計の問題によって発生しました。つまり、契約ではフラッシュローントークンを預金に使用して最終的にフラッシュローンを「返済」できることが考慮されていませんでした。