在庫 |成都聯安：8月に39件以上の典型的なセキュリティインシデントが発生し、DeFiリスクが浮上し始めている

成都聯安の「安全状況認識システム」（Beosin-Eagle Eye）のデータ監視によると、昨年8月、ブロックチェーンエコシステム全体が直面している安全状況は非常に深刻だった。不完全な統計によると、典型的なセキュリティインシデントは合計39件以上発生し、2020年の単月としては過去最多となった。今月のセキュリティインシデントの総合リスク評価は「高」であり、ブロックチェーンエコシステムプロジェクトの関係者は皆、注意を払い、インシデントの発生を防ぐ必要がある。 7月と比較すると、8月はすべての分野でセキュリティインシデントが増加傾向を示しました。成都連安のセキュリティ担当者の統計によると、8月に発生した典型的なセキュリティインシデントの詳細は次のとおりです。

取引所の面では、代表的なセキュリティインシデントが4 件ありました。

01

分散型金融インフラのSperaxは、一部の取引所が最近、ユーザーを自社のプラットフォームにアクセスさせてSPAトークンを購入するよう誘導する発表を行ったと述べた。 Speraxは現在、どの取引所とも公式に協力しておらず、東海岸時間8月14日に、公式ウェブサイトでの公募前にSPAトークンを配布しないと発表した。

02

暗号通貨取引所KuCoinは、同社のブランドを利用して暗号通貨を盗もうとする詐欺ウェブサイトについて警告した。このウェブサイトは、ユーザーにデジタル資産を預けるよう誘うために偽の報酬を提供していた。

03

日本の仮想通貨取引所TAOTAOは、8月22日東京時間12時46分から12時56分まで、システム障害により取引ペアの相場を更新できなかったと公式に発表した。問題は解決されました。障害の影響はまだ調査中です。

04

サイバー犯罪者は、BTC ERA取引所を偽装し、潜在的なユーザーにマルウェアを感染させようとしています。サイバーセキュリティ企業は、悪意のある人物がBTC ERAを装ったメールを送信し、ユーザーを騙して有料アカウントに投資させようとしていることを発見した。

Defiに関しては、合計5件の典型的なセキュリティインシデントが発生しました。

01

Opyn は、プラットフォームの脆弱性によって引き起こされた ETH 盗難事件に関する最新情報を公式に発表し、脆弱性の影響を受けた ETH プット オプションの売り手に全額補償すると発表しました。 ETH プット オプションの購入者の場合、プット オプションは市場価格より 20% 高い価格で償還されます。

02

DeFi流動性ファーミング匿名プロジェクトBASEDは、ステーキングプールを再展開することを正式に発表しました。公式ツイッターアカウントは、ハッカーらが「Pool1」を永久に凍結しようとしたが失敗したと述べた。

03

Yam Finance が急いで開発した契約では、リベース機能の脆弱性によりガバナンス契約が「永久に破壊」され、75 万ドル相当の Curve トークンがロックされ、使用できなくなりました。

04

TRONが公式にサポートしているDZIに脆弱性が発生しました。エンジニアは正式発売後にDZIを取得するために直接契約を呼びかけ、大きな損失を被りました。

05

Twitter上のネットユーザーは、DeFi流動性マイニングプロジェクトDegen.Moneyが二重認証の脆弱性を利用してユーザーの資金を入手したことを明らかにした。 YFIの創設者アンドレ・クロニエ氏もツイッターで、このプロジェクトにはリスクがあり、手動での認証解除が必要だと述べた。

Beosin レビュー:

Defi プロジェクトは現段階ではまだホットなトレンドであり、多くのプロジェクトがオンラインになった後に深刻なセキュリティ上の脆弱性にさらされています。成都聯安は、潜在的な安全上の危険を排除し、不必要な損失を減らすために、すべての主要プロジェクト関係者がプロジェクトを開始する前にセキュリティ監査を実施することを推奨しています。

詐欺と暗号詐欺に関しては、典型的なセキュリティインシデントが8 件ありました。

01

カナダのオンタリオ州ピーターボロ郡警察署は、総額7万8000ドルに及ぶ詐欺事件2件を捜査している。容疑者は警察官を装い、被害者を騙して要求したビットコイン口座に資金を入金させ、さもなければ逮捕すると脅した。

02

ジョン・プロッサー氏が8月5日に投稿したツイートによると、登録者数26万2000人の同氏のYouTubeチャンネルがハッキングされ、チャンネル名が「NASA​​ [ニュース]」に変更され、スペースXのCEOイーロン・マスク氏がビットコインを配布するという偽ニュースのライブ配信が始まったという。約2時間で彼は4,000ドルの不法利益を得た。

03

今年はTwitterと同様にInstagramでも同種の暗号通貨詐欺が横行している。 #Coinbase タグを使用した Instagram の投稿は 130 万件以上ありますが、その大部分は誤った情報です。有名人のアカウントになりすまして偽の暗号通貨情報を投稿する詐欺もあります。

04

8月7日、偽のSRMコインがUniswapに出現し、一部のユーザーが騙されました。 Serumはユーザーに警戒するよう注意を促すツイートを投稿した。 FTXやBitMax以外の取引プラットフォーム（Uniswapなど）に表示されるSRMはすべて偽物です。

05

ScamAlert ウェブサイトでは、いくつかの疑わしい暗号詐欺のアドレスを追跡しており、確認されたデジタル通貨アドレスと疑わしいデジタル通貨アドレスの数は 50,000 を超えています。

06

英国の国家サイバーセキュリティセンター（NCSC）は、投資機会に関する偽の有名人の推薦にリンクする30万以上のURLを削除したが、その半数以上が詐欺的な仮想通貨投資スキームのサイトだった。

07

蘇州工業園区警察は、蘇州初の仮想通貨を狙ったハッカー犯罪事件を解決し、ハッカーの手法を使ってアカウントのパスワードを盗み、仮想通貨を盗み、その後、ダークウェブを通じてプロのマネーロンダリング・売買グループと連絡を取り、金儲けをしていた複数の容疑者を逮捕した。

08

CFTCは、暗号詐欺Control-Financeの首謀者に対して4億2,900万ドルの民事罰金を求めている。

ランサムウェア/マイニング型トロイの木馬に関しては、合計8件の典型的なセキュリティインシデントが発生しました。

01

米国第5位の旅行会社CWTは、同社のコンピュータシステムを乗っ取ったハッカーに対し450万ドル相当のビットコインを支払うことに同意した。

02

海外メディアの報道によると、FBIは米国および外国の政府機関を標的としたNetwalkerランサムウェア攻撃について新たなセキュリティ警告を発した。連邦政府はその後、被害者に身代金を支払わないよう勧告し、事件を地元のFBI支局に報告した。

03

Micro Intelligence Agency は、Docker ホストを攻撃し、マイニング型トロイの木馬を埋め込もうとする攻撃を検出しました。マイニング型トロイの木馬はドイツにあるサーバー (85.214.149.236) に保存されていました。

04

多国籍企業キヤノンの電子メール、ストレージサービス、米国ウェブサイトが、Mazeギャングによるランサムウェア攻撃を受けた。 Mazeはキヤノンに対し、写真やデータを漏洩させると脅迫し、暗号通貨による身代金を要求した。

05

ガーミンのランサムウェア攻撃はまだ収まらず、キヤノンは再びランサムウェア攻撃に見舞われている。この攻撃により、キヤノンの一部ウェブサイトがオフラインになったほか、キヤノンのサーバーから最大10テラバイトのデータが盗まれたとされている。

06

ランサムウェア集団REvilは、米国のワイン・酒類大手Brown-Forman Corp.への攻撃に成功したと主張している。同社はREvilが要求したMoneroの身代金の支払いを拒否した。これに応じて、ハッカーは盗んだデータを自身の公式ダークウェブブログで約150万ドルで販売した。

07

イスラエルのサイバーセキュリティ企業ミティガは、特定のプログラムを実行しているアマゾン ウェブ サービスの顧客全員に対し、悪意のあるモネロ採掘ソフトウェアに感染していないかどうかを確認するよう勧告している。ミギタ氏は、コミュニティ AMI (Amazon マシンイメージ) をベースにした EC2 インスタンスを実行しているすべてのユーザーが、暗号通貨マイニングソフトウェアに対して脆弱であると述べた。

08

犯罪組織が、MoneyGram、YesBank Indiak、PayPal、Braintree、Venmoなど、世界最大手の金融サービスプロバイダーの一部にDDoS攻撃を仕掛け、ビットコインでの身代金を要求した。

ダークウェブに関しては、 『 2 』件の典型的なセキュリティインシデントがありました

01

114万人のロシア人のパスポートデータがダークウェブの闇ショップで売られている。憲法改正国民投票では、ロシア国民がブロックチェーン・プラットフォームを通じて投票したが、そのデータがインターネット上に漏洩したと報じられている。

02

有名なダークウェブマーケット「Empire Market」が営業を停止した。ウェブサイトが閉鎖されたとき、130万人のユーザーから約2,638ビットコイン、約3,000万ドル相当が詐取された。

その他の面では、合計12件の典型的なセキュリティインシデントが発生しました。

01

暗号通貨ウォレットLedgerは、セキュリティ研究者Monokhが明らかにしたセキュリティ上の脆弱性に対応した。レジャーは、モノク氏が明らかにしたセキュリティ上の脆弱性を改善するように設計されたビットコインアプリケーションのバージョン1.4.6をリリースしたと発表した。さらに、Ledger は Litecoin、Dogecoin などのアプリケーションも更新しました。

02

ETC の最近の 51% 攻撃により、約 560 万ドル相当の暗号通貨が「二重支払い」されたと考えられています。

03

ソーシャルニュースサイトRedditが大規模なハッカー攻撃を受けた。攻撃者はドナルド・トランプ氏の再選への支持を示すため、ナショナル・フットボール・リーグ、テレビ番組、パイレーツ・ベイ、ディズニーランド、アベンジャーズなど、合計で数千万人のユーザーを抱えるRedditのチャンネル数十件を破壊した。

04

テンセントセキュリティ脅威インテリジェンスセンターは、海外のIPアドレスと一部の国内IPアドレスから国内のクラウドサーバーテナントを狙った大量の攻撃を検出しました。このボットネットは国内の多くの有名企業のクラウドサーバーを攻撃し、数千台のサーバーが影響を受けました。

05

裁判官は、XRPが史上最高値の3.29ドルに近かった2018年1月に10万以上のXRPトークン（現在の価値約30万ドル）を盗んだとして、オーストラリアのハッカー、キャサリン・グエンに懲役2年3ヶ月の刑を言い渡した。

06

ハッカーたちは今年、プライバシーブラウザ Tor に大きな影響を与えており、その影響を利用してビットコインを乗っ取ろうとしている。ハッカーはTor出口リレーを通じて、暗号取引からビットコイン資金を自分の手に移した。

07

ブルガリアのキュステンディル市で、ビットコイン採掘のために150万ドル相当の電力を盗んだとして男2人が逮捕された。

08

米国政府はNSAの情報を漏洩したエドワード・スノーデンを訴追している。最近の裁判所の書類によると、スノーデン氏はバーチャル会議での講演料として120万ドルもの収入を得ており、そのうち少なくとも3万5000ドルはビットコインや暗号通貨関連企業から得たものだという。

09

8月21日、ウーバーの元最高セキュリティ責任者ジョセフ・サリバン氏は2016年のハッキング事件を隠蔽しようとした。 2人のハッカーが何百万人ものユーザーとドライバーのデータにアクセスし、6桁の報酬を要求した。 2016年12月、サリバンはハッカーたちにビットコインで10万ドルを支払った。

10

8月24日、ハッカーがCryptoTrader.Taxから1,000人以上のユーザーのデータを盗みました。 CryptoTrader.Tax は、暗号通貨取引にかかる税金を計算して申告するためのオンライン サービスです。

11

北朝鮮のハッカー集団ラザルスは再び暗号通貨を標的にしており、最新の攻撃ではブロックチェーン技術企業に関連するLinkedInの求人広告を通じてフィッシング文書が送信された。

12

調査によると、イーサリアムブロックチェーン上の10億ドル以上のトークンに2017年にリリースされたソフトウェア標準が欠落しており、トークンがハイジャックされ、取引所から流出する可能性があることが明らかになった。

現在のブロックチェーンセキュリティ分野の新たな状況を踏まえて、成都聯安は次のようにまとめています。

全体的に見ると、8月はブロックチェーンエコシステム全体で多くのセキュリティインシデントが発生し、7月と比較して明らかな増加傾向を示しました。特筆すべきは、8月に発生したセキュリティインシデントの件数が2020年これまでの単月としては最多となり、全体的なリスク評価は「高」となったことだ。その中でも、Defiで発生するセキュリティインシデントは特に注目に値します。 Defiの人気が高まるにつれ、この分野に潜むセキュリティリスクは将来的に非常に大きくなる可能性があり、油断はできません。

同時に、今月、Defi関連のプロジェクトでいくつかの深刻なセキュリティ脆弱性が発生しました。したがって、成都聯安は、プロジェクトの準備段階で関連するセキュリティ作業を適切に行うよう、すべてのプロジェクト関係者に注意喚起したいと思います。オンライン化しようとしている契約については、オンライン化後に取り返しのつかない損失を避けるために、専門のセキュリティ会社にコード監査を実施してもらうことを忘れないでください。

また、詐欺・暗号詐欺に関しては、今月発生した関連詐欺も時折発生していることにも留意が必要です。同時に、関係部門がこの分野にさらに注意を払うようになり、摘発される詐欺の件数も増加していることが分かります。ここで、成都聯安は大多数のユーザーに対し、「空想」を信じないよう注意喚起する必要がある。インターネット上の関連情報を慎重に見分け、罠に陥らないようにしてください。