2024年Web3セキュリティ事件回顧：トップ10攻撃事例分析

2024年、ブロックチェーン業界は技術革新とエコシステムの拡張に取り組む一方で、ますます厳しいセキュリティの課題に直面しています。統計によると、年末までにWeb3分野ではハッカー攻撃、フィッシング詐欺、プロジェクト運営者の逃亡によって合計249.1億ドルの損失が発生しました。これらの事件は、プライベートキーの管理やスマートコントラクトなどの技術的欠陥を露呈させるだけでなく、ソーシャルエンジニアリングや内部管理の潜在的リスクも浮き彫りにしました。本稿では、2024年のWeb3におけるトップ10のセキュリティ事件を振り返り、業界が教訓を得て、未来のセキュリティ脅威により良く対処できるようにすることを目的としています。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

1. DMMビットコイン

損失額:3億400万ドル 攻撃方法:秘密鍵の漏洩

2024年5月31日、日本の有名な暗号通貨取引所DMM Bitcoinが重大な攻撃を受けました。ハッカーは漏洩した秘密鍵を利用して、3億ドル以上のビットコインを直接移転し、盗まれた資金を迅速に十数の異なるアドレスに分散しました。この事件は、取引所の秘密鍵管理と多層的なセキュリティ保護における深刻な脆弱性を暴露しました。取引所はオンチェーン監視や資金の凍結などの対策を講じましたが、ハッカーがミキシングツールを使用したため、追跡作業は大きな課題に直面しています。

年末に、日本の警察はこの事件が北朝鮮のハッカー集団ラザルスグループによって実行されたことを確認しました。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

2. プレイダップ

損失額:2億9,000万ドル 攻撃方法:秘密鍵の漏洩

2024年2月9日、PlayDappは深刻な攻撃を受けました。ハッカーは秘密鍵を盗むことによって20億枚のPLAトークンを鋳造し、その初期価値は3650万ドルでした。プロジェクト側とハッカーの交渉が失敗したため、ハッカーは短期間でさらに159億枚のPLAトークンを鋳造し、価値は2.539億ドルに達しました。一部のトークンが取引所に流入した後、PlayDappはPLA契約を一時停止し、新しいトークン契約に移行せざるを得ませんでした。この事件は、ブロックチェーンプロジェクトにおける秘密鍵の保護と緊急対応の不足を浮き彫りにしました。

3. インドのある暗号通貨取引所

損失額:2億3,500万ドル 攻撃方法：ネットワーク攻撃とフィッシング

2024年7月18日、インド最大の暗号通貨取引所のSafe Walletマルチシグウォレットが精密攻撃を受けました。攻撃者はソーシャルエンジニアリング手法を使用して、マルチシグ署名者に契約アップグレード取引に署名させ、その後アップグレードされた契約の権限を利用してウォレット内の資産を移転しました。この事件は、マルチシグウォレットの権限管理と操作の透明性に関する潜在的なリスクを明らかにし、業界内でプロジェクトの内部リスク管理と安全メカニズムについての深い考察を引き起こしました。

4. ガラゲームズ

損失額:2億1,600万ドル 攻撃方法：アクセス制御の脆弱性

2024年5月20日、Gala Gamesの特権アドレスがハッカーによって攻撃されました。攻撃者はトークンコントラクトのmint関数を呼び出すことで、一度に50億GALAトークンを鋳造しました。その後、ハッカーは増加したトークンを分割してETHに交換し、直接的に2.16億ドルの損失を引き起こしました。Gala Gamesチームは緊急にブラックリスト機能を有効にして一部のハッカーアカウントを封鎖し、法的手段を通じて一部の損失を回収しました。

5. リップル共同創設者の個人ウォレット

損失額:1億1,200万ドル 攻撃方法:秘密鍵の漏洩

2024年1月31日、Rippleの共同創設者クリス・ラーセンの4つの個人ウォレットがハッカーによって攻撃され、1億1200万ドルのXRPが盗まれました。これらのウォレットは、ハードウェアデバイスによる二重保護が欠如していたため、攻撃のターゲットとなったと考えられています。事件発生後、ある取引所が420万ドル相当のXRPを凍結し、盗まれた資産の追跡を支援しましたが、ほとんどの資金は分散型取引所やミキシングサービスを通じて洗浄されました。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

6. マンチャブル

損失額:6,250万ドル 攻撃方法：ソーシャルエンジニアリング攻撃

2024年3月26日、Blastに基づくWeb3ゲームプラットフォームMunchablesは、稀な内部浸透攻撃に遭いました。攻撃者はブロックチェーン開発者に偽装し、長期間潜伏してコアコードと機密鍵を取得しました。巨額の損失をもたらしましたが、コミュニティとチームの圧力の下で、ハッカーは最終的にすべての盗まれた資金を返還しました。この事件は、特に第三者の開発に依存するブロックチェーンプロジェクトにとって、サプライチェーンのセキュリティの重要性を浮き彫りにしました。

7. あるトルコの暗号通貨取引所

損失額:5,500万ドル 攻撃方法:秘密鍵の漏洩

2024年6月22日、トルコ最大の暗号通貨取引所がプライベートキー漏洩攻撃を受け、5500万ドル以上の暗号資産を失いました。ある取引プラットフォームの協力により、530万ドルの盗まれた資金が無事に凍結されましたが、他の資産はまだ回収されていません。この事件は、中央集権型取引所のプライベートキー管理に対する市場の懸念を深めました。

8. ラディアントキャピタル

損失額:5,300万ドル 攻撃方法:秘密鍵の漏洩

2024年10月17日、Radiant Capitalのマルチシグウォレットがハッカーに攻撃されました。低い敷居の3/11署名検証方式を採用していたため、ハッカーは3人の署名者の秘密鍵を掌握し、オフチェーン署名を行い、ウォレット契約の所有権を悪意のあるアドレスに移転させ、最終的に5300万ドルが盗まれました。この攻撃は、マルチシグウォレットの設計とガバナンスメカニズムに対する業界の反省を引き起こしました。

注目すべきは、Radiant Capitalが以前に契約の脆弱性により450万ドルを失い、1900以上のETHが盗まれたことで、プロジェクト側の安全性への配慮が不十分である問題が浮き彫りになったことです。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ

9. ヘッジーファイナンス

損失額:4,470万ドル 攻撃方法:契約の脆弱性

2024年4月19日、Hedgey Financeは複数のチェーン上の契約に対する攻撃を受けました。ハッカーはそのClaimCampaigns契約の承認の脆弱性を利用し、EthereumとArbitrumの2つのチェーン上でトークンを成功裏に抽出しました。総損失額は4470万ドルに達します。この事件は、コード監査の重要性、特にトークン承認ロジックの厳密な検証の必要性を示しています。

10. ある暗号通貨取引プラットフォーム

損失額:4,470万ドル 攻撃方法:秘密鍵の漏洩

2024年9月19日、ある取引プラットフォームのホットウォレットがハッカーに侵入され、Ethereum、BNB Chain、Tronなどの複数のパブリックブロックチェーンが関与しました。取引所は迅速に資産移転と出金凍結メカニズムを開始しましたが、ハッカーは4470万ドル相当の資産を成功裏に引き出しました。この攻撃は、中央集権型取引所のホットウォレット管理の高リスク性を反映しており、業界がより安全な資産保管ソリューションを模索することをさらに促進しています。

2024年のセキュリティ事件が頻発しており、再び私たちにブロックチェーン業界の発展が安全保障なしには成り立たないことを思い出させます。秘密鍵の漏洩から契約の脆弱性、内部管理の不備から外部攻撃手段の進化まで、各事件は深い教訓をもたらします。ますます複雑化する攻撃の脅威に対処するために、業界の各方面は技術開発、管理規範、リスク管理において継続的な投資を強化する必要があります。未来において、私たちは業界の協力と技術革新を通じて、より安全なブロックチェーンエコシステムを共同で構築し、ユーザーと投資家により信頼できる保障を提供することを期待しています。

! 2024年に最も影響力のあるWeb3攻撃トップ10のインベントリ