過去 2 年間の暗号化業界における上位 20 件のハッカー攻撃を振り返ると、そのうちのいくつが攻撃を受けたことがありますか?

過去 2 年間の暗号化業界における上位 20 件のハッカー攻撃を振り返ると、そのうちのいくつが攻撃を受けたことがありますか?

これらのセキュリティインシデントによる累積損失は数十億ドルに達しましたが、盗まれたプロジェクトの大多数のユーザーの損失は補償されました。

仕上げ: ビスケット、チェーンキャッチャー

3月末、有名なブロックチェーンゲーム「Axie Infinity」のサイドチェーンネットワークであるRonin Networkがハッカー攻撃で約6億2000万ドルの資産を失い、これまでで最も深刻なDeFiハッカー攻撃となり、暗号通貨界のセキュリティに対する国民の懸念がさらに深まった。

過去2年間、莫大な資金が暗号通貨業界に流入し続けてきましたが、そのセキュリティは依然として非常に脆弱です。中央集権型取引所やDeFiプロジェクトの多くのコードの脆弱性がハッカーによる攻撃を繰り返し受けており、さまざまなセキュリティインシデントの数、頻度、規模が急速に増加しています。

SlowMistの統計によると、2021年のブロックチェーンセキュリティインシデントは231件のセキュリティインシデントを引き起こし、累計損失は98億ドルを超えました。損失のかなりの部分はプロジェクト関係者によって回復または補償されましたが、暗号通貨業界は依然として深刻な被害を受けました。

Chain Catcher は、専門的な暗号化セキュリティ Web サイト rekt のデータやその他の公開情報を基に、攻撃による被害額に基づいてハッカー攻撃のトップ 20 のリストを作成しました。 (2022年4月まで)

1. ロニンネットワーク、6億2,400万ドル

2022年3月29日、Roninはクロスチェーンブリッジがハッキングされ、173,600 ETHと2,550万USDCが盗まれ、総額約6億2,000万米ドル相当の被害を受けたことを公式に発表した。

当局は、このプロジェクトが盗まれたのは、バリデーター5人の秘密鍵が盗まれたためだと述べた。昨年 11 月、Sky Mavis と Axie DAO は、ユーザー コストの削減を本来の目的として、ガスフリーの RPC ノードを確立しました。これには、Axie DAO が Sky Mavis バリデーターになる必要がありました。 RPC ノードは 1 か月しか存続しなかったものの、ホワイトリストのアクセス権は取り消されなかったため、攻撃者は Axie DAO の署名を盗み、5 つのバリデーターから合意を集め、それを秘密鍵と交換して偽の引き出しを偽造する機会を得ました。

現在、Axie Infinityの共同創設者であるAleksander L. Larsen氏はTwitterで、Axie Infinityチームは損失の回復と最善の補償プランの決定に向けてハッカーとのコミュニケーションに全力を尽くしていると投稿した。

2. ポリネットワーク、6億1,100万ドル

2021年8月10日、イーサリアム、BSC、Polygon上のクロスチェーン相互運用プロトコルPoly Networkによって展開されたスマートコントラクトがハッカーによる同時攻撃を受け、6億1,000万ドル以上の資産が盗まれました。

SlowMist チームの分析によると、攻撃者は特定の関数を使用して慎重に構築されたデータを渡し、EthCrossChainData 契約のキーパーを変更しました。キーパーロールのアドレスを置き換えた後、攻撃者は自由にトランザクションを構築し、契約から任意の金額の資金を引き出すことができます。

複数の当事者がチェーン上でハッカーと通信した後、ハッカーは最終的に盗んだ資産をすべてプロジェクト当事者に返却し、すべてのユーザーは実際の損失を被りませんでした。

3. ワームホール、3億2,600万ドル

今年2月3日、クロスチェーンプロトコル「ワームホール」がハッカーの攻撃を受けた。当局者は、今回の攻撃による損失が12万ETH(約3億2600万米ドル)に達したことを確認した。

調査によると、この事件の脆弱性は、Solana 側のコア Wormhole コントラクトの署名検証コードにエラーがあり、攻撃者が「ガーディアン」からのメッセージを偽造して whETH を鋳造できる状態だった。攻撃者は、Solana上でwhETH(Wormhole ETH)に相当するものを無限に発行し、その後、Wormholeを通じて120,000の実際のETHをEthereumに転送しました。

事件後、ハッカーはプロジェクトの連絡に応答しなかった。ワームホールの親会社であるジャンプ・トレーディングの子会社であるジャンプ・クリプトは、ワームホール・ブリッジがオンラインに戻るのを支援するために、クロスチェーン・ブリッジのスマート・コントラクトに12万ETHを補充するために「自腹で支払う」ことをすぐに決定した。

4. ビットマート、1億9,600万ドル

2021年12月5日、仮想通貨取引プラットフォームBitMartのイーサリアムとBSCのホットウォレットから約1億9,600万ドルが盗まれ、そのうちイーサリアムで計約1億ドル、BSCで計約9,600万ドルが盗まれた。

攻撃者はBitMartの資金をホットウォレットから自分のウォレットに移し、1inchを通じてほとんどの通貨をETHとBNBに交換し、その後TornadoCashを通じて通貨を混ぜて、最終的に逃げ切ったとみられる。プロジェクト関係者の協力により、一部の資産が回収されました。

それ以来、BitMartの創設者シェルドン・シア氏は、プラットフォームの資金を使って被害を受けたユーザーに補償し、すぐに入出金を開始すると発表した。

5. バルカンフォージド、1億4000万ドル

2021年12月13日、ブロックチェーンゲームプロジェクト「Vulcan Forged」は、PYRを保有するウォレット148個がハッキングされ、450万PYR以上が盗まれ、損失総額が1億4000万ドルを超えたと発表した。その後、プロジェクトチームは、影響を受けたユーザーのウォレットをPYRユーザーの資金で補償することを決定しました。

6. クリーム・ファイナンス、1億3000万ドル

2021年10月27日、住宅ローン融資プラットフォームのCream Financeがフラッシュローン攻撃を受け、約1億3,000万ドルの損失が発生しました。

この攻撃は経済攻撃とオラクル攻撃が混在したものであったと理解されています。攻撃者はMakerDAOからDAIをフラッシュローンし、大量のyUSDトークンを作成しました。同時に、マルチアセット流動性プールを操作することで、価格オラクルを使用して yUSD の価格が計算されました。 yUSD の価格が上昇した後、攻撃者の yUSD ポジションが増加し、Cream Ethereum v1 市場の流動性を相殺するのに十分な借入制限が作成されました。

11月13日、Cream Financは影響を受けたユーザーに対する補償計画を発表しました。これは、同社の財務に残っているトークンを使用し、プロジェクトチームの残りのCreamトークン割り当てをすべて削除して、影響を受けたユーザーに1,453,415のCreamトークンを配布するというものです。

7位 バジャー:1億2000万ドル

2021年12月2日、Badgerのユーザーインターフェースがハッキングされ、悪意のあるウォレットリクエストが埋め込まれ、合計で約2,100 BTCと151 ETH、つまり約1億2,000万米ドルの損失が発生しました。

この事件は、Badger のクラウド ネットワーク上で稼働しているアプリケーション プラットフォームである Cloudflare からの「悪意のあるインジェクション フラグメント」によって引き起こされたフィッシング攻撃でした。ハッカーは、Badger エンジニアの知らないうちに、または許可なく作成された侵害された API キーを使用して、定期的に悪意のあるコードを挿入し、ユーザーのウォレットの無制限の承認注釈を取得していました。

その後、バジャーは、サイバーセキュリティ企業マンディアントとブロックチェーン分析企業チェイナリシスを雇って攻撃を調査させ、両社および米国とカナダの当局と協力して資金回収に取り組んでいると発表した。同時に、プロジェクトはコミュニティ投票を通じて、財務資産の一部とプロトコル収益の一部を使用して、約1年間にわたって影響を受けたユーザーに補償することを決定しました。

8. キュービット・ファイナンス、8,000万ドル

2022年1月28日、BSCの貸付プロジェクトQubitがハッキングされた疑いがありました。ハッカーは大量のxETH担保を発行し、資金プールから約8,000万ドルの資産を盗みました。

この攻撃の主な原因は、通常のトークンとネイティブトークンの再チャージが別々に実装されている場合、ホワイトリスト内のトークンを転送するときに、0 アドレスであるかどうかを確認する再チェックが行われず、ネイティブの再チャージ機能を通じて再チャージされるはずの操作が、通常のトークンの再チャージロジックにスムーズに従えるようになることです。

Qubit Financeの開発チームであるTeam Moundは、攻撃後に再編成して補償プランを発表することを決定し、コミュニティに補償するためにすべてのトークンを放棄する予定です。

9. アセンドEX、7,700万ドル

2021年12月12日、暗号通貨取引所AscendEXのイーサリアム、BSC、Polygonのホットウォレットから合計7,700万ドル以上の資産が盗まれた可能性がある。

事件後、取引所は包括的なセキュリティチェックを実施し、事件によってユーザーの資金が影響を受けた場合はAscendEXが100%の補償を行うと発表した。

10. イージーファイ、5,900万ドル

2021年4月20日、レイヤー2 DeFiレンディングプロトコルEasyFiの創設者であるアンキット・ガウル氏は、600万ドル相当のステーブルコインと298万枚のEASYトークンがプロトコルの流動性プールから転送され、合計で約5,900万ドルの損失が発生したと述べた。

プロジェクトが盗まれたのは、管理者のMetaMaskニーモニックフレーズキーがリモート攻撃を受けたためであり、EasyFiスマートコントラクトはハッキングされなかったことが分かっています。 EasyFiはBinanceとAscendExのチームに連絡を取り、ハッカーはウォレットからトークンを転送しておらず、流動性の制約によりDEXで販売できないことを明らかにした。

その後、プロジェクトは、スナップショットに従って各アドレスの貸し手/預金者の純残高の100%を補償し、ユーザーは資金を2つの部分に分けて受け取り、25%は前払いで支払われ、残りの75%はEASY V2トークンEZによって1:1の比率で保証されたEZで支払われると述べました。

11. ウランファイナンス、5,700万ドル

2021年4月28日、Binance Smart Chain上のAMMプロトコルであるUranium Financeは、移行プロセス中にUraniumが攻撃を受け、損失額は約5,700万ドルであるとツイートした。

問題はウランプロジェクトのペア契約で発生したとみられる。この契約のスワップ機能のロジックの一部は PancakeSwap のロジックを参照しており、ユーザーはフラッシュローンを通じて資金を借りることができます。しかし、定数積式に従って契約残高を確認すると、関数に精度処理エラーが発生し、最終契約で計算された残高が契約の実際の残高の 100 倍になります。この場合、攻撃者がフラッシュローンを利用して資金を借りると、融資額の 1% を返済するだけでチェックを通過し、残りの 99% の残高を盗むことができ、プロジェクトに損失が発生します。

その後、ウランファイナンスは脆弱性分析記事を公開し、ユーザーに対し、できるだけ早く資金を移動し、契約への流動性の提供を停止するよう呼びかけた。それ以来、ウラン・ファイナンスから公式な更新はなく、業務を停止したとみられる。

12位 bZx、5,500万ドル

2021年11月6日、分散型融資プロトコルbZxは、PolygonおよびBSCチェーンでの秘密鍵漏洩により、5,500万ドルを超える資産の盗難に遭いました。

この事件はプロトコル自体の脆弱性を狙ったハッカー攻撃ではなく、bZx開発者に対するフィッシング攻撃であったと理解されています。開発者は、悪意のあるマクロが添付された Word 文書を含むフィッシング メールを受信しました。この文書を開くと、開発者の個人ウォレットキーが盗まれる可能性があります。ハッカーは契約を制御し、BZRX からそれを抽出することができました。

13位 カシオ、4,800万ドル

2022年3月23日、SolanaエコシステムのアルゴリズムステーブルコインCashioは、ユーザーに対してトークンを発行せず、できるだけ早くプールから資金を引き出すように警告するツイートを投稿した。プロトコルは無限鋳造の脆弱性を経験し、約4,800万ドルの損失が発生しました。

Cashio Dollar は、USDT-USDC LP トークンに裏付けられたアルゴリズム ステーブルコインです。ハッカーは未確認のアカウントを迂回して20億のCASHトークンを違法に発行し、複数のアプリケーションを通じてCASHトークンをUST、USDC、USDT-USDC LPに変換し、総利益額は約4,800万米ドルに上りました。

ハッキングを受けた後、プロジェクトの所有者は、ユーザーの損失を補償するのに十分な資金がないと述べた。攻撃者が資金を返還した場合、報奨金として100万USDCを提供する用意があるとのことでした。攻撃者はオンチェーンメッセージで、損失が10万ドル未満の被害者には返金すると述べた。

14位 パンケーキバニー、4,600万ドル

2021年5月20日、Binance Smart Chain BSCの利回りアグリゲーターであるPancakeBunnyが攻撃を受けた疑いがあり、約4,600万ドルの損失が発生しました。

これは典型的なフラッシュローン攻撃です。重要な点は、WBNB-BUNNY LP の価格計算に欠陥があり、BunnyMinterV2 契約によって発行される BUNNY の量は、この欠陥のある LP 価格計算方法に依存しているということです。最終的に、攻撃者はフラッシュローンを使用して WBNB-BUNNY プールを操作し、LP の価格を引き上げ、BunnyMinterV2 契約が攻撃者のために大量の BUNNY トークンを発行するようにしました。

PancakeBunny チームは、フラッシュローン攻撃を受けた後、評価および補償プランを発表しました。新しいトークンpBUNNYを発行し、補償プールを作成します。補償プールは、パフォーマンス料金(チームからの直接の寄付)、脆弱性の悪用から回収された資金、および QFI トークンのエアドロップによって資金が調達されます。 90日後、元の保有者は市場価格より割引された価格でpBUNNYをBUNNYと交換します。

15位 クーコイン、4500万ドル

2020年9月20日、Kucoinのホットウォレットが攻撃を受け、2億8000万ドル以上の損失が発生しました。

その後、KucoinのCEOであるジョニー・リュ氏は、取引所やプロジェクト関係者と協力することで2億2200万ドル(78%)の資金が回収され、さらに法執行機関や治安機関との協力により1745万ドル(6%)が回収されたと述べた。最終的に、KuCoinは保険基金を使って残りの金銭的損失約4,500万ドル(16%)を支払い、この事件で損失を被ったユーザーはいなかった。

16. Secretswap、4,000万ドル以上

2021年9月14日、プライバシーパブリックチェーンSecret NetworkをベースとしたDEXプロジェクトであるSecretswapがハッキングされ、流動性プール内の4,000万ドル以上の資金がハッカーによって引き出されました。事件後、プロジェクトは、ハッカーがクロスチェーンブリッジからイーサリアムネットワークに資産を転送するのを防ぐため、SecretswapとSecret Networkクロスチェーンブリッジの使用を停止しました。

その後の調査により、脆弱性は SecretSwap 報酬ステーキングに関連する単一の LP 契約に関係しており、盗まれた資金はネットワークから流出しておらず、ブリッジ/トークン契約は攻撃されておらず、ネットワーク自体も攻撃されていなかったことが明らかになりました。

数日後、シークレットネットワークはハードフォークを通じてネットワークをロールバックし、盗まれた資産をユーザーの流動性プールに返還し、クロスチェーンブリッジの使用を再開しました。

17位 アルファファイナンス、3,700万ドル

2021年2月13日、Alpha Finance Labは公式Twitterで、ハッカーがAlpha Homora V2の脆弱性を悪用してIron Bank(Cream V2)からETH、DAI、USDCなどの資産を借り入れ、Alpha Homora v2とCream v2の間に債務関係が生じ、約3,700万ドルの損失が発生したと述べました。

Alpha チームの返済方法は、攻撃者が Alpha Homora V2 デプロイヤー コントラクトに預けた 1000 ETH を使用して未払い残高を支払うことです。攻撃者が Cream V2 デプロイヤー コントラクトに預けた 1000 ETH を使用して未払い残高を支払います。 Tornado Cash Foundation は、未払い残高の支払いのために、攻撃者が Alpha Homora に支払った 100 ETH の寄付金を返金します。 Alpha は、Alpha Homora V1 および V2 準備金の 20% を使用して残りの資金を返済することを約束し、すべての新しい負債が返済されるまで、毎月 Cream V2 Iron Bank に支払います。

18. ヴィー・ファイナンス – 3,700万ドル

2021年9月21日、Avalancheエコシステムの融資プラットフォームであるVee Financeのスマートコントラクトが攻撃を受け、約3,700万米ドルの損失が発生しました。

この脆弱性の主な原因は、ユーザーがレバレッジ取引注文を作成する際に、オラクルが価格フィードソースとしてPangolinプールの価格のみを使用し、このプールの価格変動が3%を超えることにあると理解されています。オラクルによって価格が更新され、攻撃者が Pangolin プールの価格を操作できるようになります。 Vee Finance オラクル価格の操作とオラクル価格の取得は小数として処理されなかったため、スワップが有効になる前に予想されるスリッページ チェックが実行されませんでした。

その後、Vee.Financeは、攻撃者を追跡するために50万ドルの報奨金を発表し、すべての損失を負担し、プラットフォームの収益と準備金のVEEトークンですべての貸し手と預金ユーザーに補償します。すべてが返済されるまで、チーム トークンはリリースされなくなります。

19. Crypto.com: 3,300万ドル

2022年1月18日、暗号通貨取引所Crypto.comの一部のアカウントがハッキングされた疑いがあり、約3,300万ドルの損失が発生した。

ハッカーが既存の2FA認証を回避し、引き出しホワイトリストに加わったとみられる。合計483のアカウントがハッキングされ、4,836 ETHと444ビットコインが盗まれました。 ETH はミキシングのために Tornado Cash に送信されました。

事件後、Crypto.comは全ユーザーの損失を補償し、アカウントの資産を回復したと発表した。

20. モノックスファイナンス – 3,100万ドル

2021年11月30日、自動マーケットメーカープロトコルMonoXがフラッシュローンの攻撃を受け、イーサリアムとポリゴン上の約3,100万ドル相当の暗号通貨がハッカーに盗まれました。

攻撃者はスワップ契約を利用してMONOの価格を急騰させ、その後MONOを使ってプール内の他のすべての資産を購入したとみられています。

その後、プロジェクトチームは、盗まれた資産すべてに対して負債トークンdMONOを発行し、dMONO金庫を展開すると述べました。当社の収益を使用して MONO を買い戻し、この金庫に MONO を送ります。 dMONO 保有者は、dMONO を破壊して MONO を取得することでいつでも金庫から出ることができますが、ユーザーが dMONO が負債額に達する前に引き出すことを選択した場合、残りの負債が免除されることを意味します。

さらに統計によると、これらのセキュリティ インシデントによる累積損失は数十億ドルに達したものの、盗まれたプロジェクトのほとんどのユーザーの損失は完全に補償されました。このうち、Poly NetworkとSecretswapの盗まれた資産はすべて回収され、Wormholeなど8つのプロジェクトはプロジェクト当事者により元の通貨で補償された。残ったプロジェクトのほとんどは、プロジェクト側が独自のトークンの形で補償しましたが、トークン価格の下落により、実際の補償額は損失額よりも低くなることが多かったです。ウランファイナンスだけがユーザーに対して一切の補償をしませんでした。

このことから、ハッカー攻撃は想像するほど恐ろしいものではないことがわかります。重要なのは、プロジェクト当事者のリソース背景とユーザーに対する責任感です。暗号通貨ユーザーは、いかなる金融取引についても慎重になる必要がありますが、可能な限り強力なプロジェクトやプラットフォームに参加することを優先し、資金の安全を確保するために、自分の許容範囲内で関連する投資やマイニング活動を行う必要があります。

<<:  資産運用大手のヴァンエックは「ビットコインが世界の準備資産になれば、価格は480万ドルにまで高騰する可能性がある」と述べた。

>>:  ほぼノイズなしで 40% のオーバークロックを実現しますか?油冷式採掘機械の見学へご案内

推薦する

EUのビットコインに対する姿勢の変化はISILに打撃を与えない

最近のパリでのテロ攻撃は、国際社会、特にヨーロッパとアメリカに大きな波紋を引き起こしました。攻撃の...

カナダ最大のグリーンビットコイン採掘会社がナスダックで上場

カナダ最大の再生可能エネルギーを利用した暗号通貨マイニング企業であるビットファームズが、米国ニューヨ...

ビットメインはTSMCにチップを発注した。来年の第1四半期と第2四半期には3300万TH/sの計算能力が提供される可能性がある。

テクノロジー大手V「モバイルチップ専門家」の以前の暴露によると、Bitmainは第3四半期と第4四半...

2022年第1四半期の暗号通貨業界レポート

このレポートは、暗号業界のマクロ市場概要、主流のパブリックチェーンの開発状況、業界の人気分野の最新動...

国家エネルギー局四川監察室は6月2日に仮想通貨「マイニング」に関する研究セミナーを開催する。

国家エネルギー局四川省監督管理事務所は、仮想通貨「マイニング」に関する研究セミナーを開催する通知を発...

ECBと日本銀行が分散型台帳に関する共同研究プロジェクトを開始

クレイジー解説:日本銀行はブロックチェーン金融研究を積極的に行っているが、欧州中央銀行はブロックチェ...

ビットコイン採掘機会社カナンクリエイティブの上場目的が疑問視される

香港市場関係者は、カナン・クリエイティブの運命は実はビットコインと密接に関係しており、ビットコインの...

欧州ビットコイン取引所ヤクナが閉鎖を発表

欧州の暗号通貨取引所Yacunaは来月閉鎖すると発表した。同社は本日午後、電子メールで顧客に対しこの...

「マイニングプールの巨人」がブロックチェーンサービスの登録を取得し、物議を醸した。これまで、多くのマイニングプールが登録を完了していました。

出典:証券日報著者: 星孟中国サイバースペース管理局は10月30日、国内ブロックチェーン情報サービス...

30日間、130のプロジェクト: Web3を強化する新しいアイデア

HackFSは、分散ネットワークの基盤を構築することを目的とした 30 日間のオンライン ハッカソン...

暗号通貨業界史上最大のプライベートエクイティファイナンス! FTX、180億ドルの評価額で9億ドルの資金調達を完了

仮想通貨デリバティブ取引所FTXは、180億ドルの評価額で記録的な9億ドルの資金調達ラウンドを完了し...

ビットコインL2エコシステムとプロジェクトの包括的な調査

「ビットコイン レイヤー: 信頼のない金融時代のタペストリー」は、ビットコイン エコシステム全体の発...

江蘇省警察は、1000万元を超えるクリスタルインターナショナルのブロックチェーン詐欺を摘発した。

11月20日、江蘇省警察はカンボジアクリスタルインターナショナルのブロックチェーン詐欺を摘発した。...

ビットコインの見出し: ブロックチェーンの女王

Bitcoin Headlines は、ビットコインに関するメディアの報道とその影響について毎週分析...