
2023年Web3ブロックチェーンのセキュリティ状況およびマネーロンダリング対策分析
TechFlow厳選深潮セレクト

2023年Web3ブロックチェーンのセキュリティ状況およびマネーロンダリング対策分析
2023年、チェーン上のハッキング活動、フィッシング詐欺、プロジェクト運営陣によるRug Pull事件は、2022年と比べて明らかに減少した。
執筆:Beosin 研究チーム Mario、田大侠 Donny
本稿は『2023 Web3 ブロックチェーンセキュリティ状況、マネーロンダリング防止分析の回顧および暗号資産業界における重点規制政策のまとめ』の第一部分であり、レポートのセキュリティ情勢のみを掲載し、規制政策などについては『2023年グローバルWeb3バーチャルアセット業界の規制ポリシーとイベント観察』をご参照ください。
はじめに
本研究報告書はブロックチェーンセキュリティ連盟が発起し、連盟メンバーであるBeosin、Web3小律、Elvenが共同で作成したものであり、2023年のグローバルブロックチェーンセキュリティ情勢および暗号資産業界の重点的な規制政策について包括的に考察することを目的としています。グローバルなブロックチェーンセキュリティの現状に関する分析と評価を通じて、現在直面しているセキュリティ課題や脅威を明らかにし、解決策およびベストプラクティスを提示します。また、各国政府および規制当局が暗号資産業界においてどのような立場を取り、どのような規制方針を示しているかを検証することで、読者が規制環境の動向変化およびその影響を理解できるように支援します。
このレポートを通じて、読者はWeb3ブロックチェーンのセキュリティ情勢の動的進展および規制政策の核心ポイントをより包括的に把握できるようになります。これにより、ブロックチェーン分野におけるセキュリティ課題の評価と対応が可能となり、規制要件を遵守しつつ業界の持続可能な発展を推進できます。さらに、読者は本レポートからセキュリティ対策、コンプライアンス要件、業界の発展方向に関する有益な助言を得ることで、この新興分野において賢明な意思決定と行動を取ることができます。ブロックチェーンのセキュリティと規制は、Web3時代の発展における重要な課題です。深く研究し議論することで、これらの課題に対する理解と対処能力を高め、ブロックチェーン技術の安全性と持続可能性の発展を促進することができます。
1、2023年度 Web3 ブロックチェーンセキュリティ総合情勢

ブロックチェーンセキュリティ監査企業Beosin傘下のEagleEyeプラットフォームによる監視によると、2023年、Web3分野におけるハッカー攻撃、フィッシング詐欺、プロジェクト側Rug Pullによって生じた総損失額は20.2億ドルに達しました。内訳は、攻撃事件191件(総損失約13.97億ドル)、プロジェクト側Rug Pull事件267件(総損失約3.88億ドル)、フィッシング詐欺による損失額約2.38億ドルです。

2023年、ハッカー攻撃、フィッシング詐欺、プロジェクト側Rug Pull事件はいずれも2022年に比べて大幅に減少し、総損失額は53.9%低下しました。特にハッカー攻撃の減少幅が大きく、2022年の36億ドルから2023年には13.97億ドルへと約61.2%減少しました。フィッシング詐欺による損失額は2022年比で33.2%減少、Rug Pullによる損失額は8.8%減少しています。

2023年には損失額が1億ドルを超える攻撃事件が4件発生し、1000万ドル〜1億ドルの範囲内の攻撃事件が17件ありました。上位10件のセキュリティインシデントの総損失額は約10億ドルで、年度全体の攻撃事件損失額の71.5%を占めています。
2023年に攻撃を受けたプロジェクトの種類は、2022年と比較してさらに多様化しており、DeFi、CEX、DEX、公的ブロックチェーン、クロスチェーンブリッジ、ウォレット、決済プラットフォーム、ギャンブルプラットフォーム、暗号ブローカー、インフラ、パスワードマネージャー、開発ツール、MEVロボット、TGロボットなど複数のタイプが含まれます。DeFiは攻撃頻度および損失額ともに最も高いカテゴリであり、130件のDeFi攻撃により約4.08億ドルの損失が生じました。
2023年は、複数のブロックチェーン上で盗難が発生するなど、公的ブロックチェーンを対象とした攻撃がより頻繁に行われました。Ethereumは依然として損失額最大のブロックチェーンであり、71件の攻撃で7.66億ドルの損失を記録し、年間総損失の54.9%を占めています。
攻撃手法別では、30件の秘密鍵漏洩事件により約6.27億ドルの損失が発生し、総損失の44.9%を占め、最も大きな損失をもたらした攻撃方法となっています。一方、契約の脆弱性悪用は発生頻度が最も高く、191件の攻撃事件のうち99件(51.8%)が該当します。
2023年には、約2.95億ドルの盗難資金が回収され、全体の約21.1%に相当し、2022年と比較して大幅に改善されました。全年を通じて、約3.3億ドルの盗難資金がミキサー(混幣器)に送金され、総盗難資金の23.6%を占めました。
一方、チェーン上のハッカー攻撃、フィッシング詐欺、Rug Pullの金額が顕著に減少したのとは対照的に、2023年におけるチェーン外の暗号関連犯罪データは大幅に増加しました。2023年、グローバルな暗号資産業界における犯罪額は驚異の656.88億ドルに達し、2022年の137.6億ドルから約377%増加しました。金額の大きい順に上位3つの犯罪タイプは、オンライン賭博、マネーロンダリング、詐欺です。

2、2023年 Web3エコシステムにおけるトップ10セキュリティ事件
2023年には損失額が1億ドルを超える攻撃事件が4件発生しました:Mixin Network(2億ドル)、Euler Finance(1.97億ドル)、Poloniex(1.26億ドル)、HTX & Heco Bridge(1.1億ドル)。上位10件のセキュリティ事件の総損失額は約10億ドルで、年度の攻撃事件総損失額の71.5%を占めています。
No.1 Mixin Network
損失額:2億ドル
攻撃手法:クラウドサービスプロバイダーのデータベース攻撃
9月23日未明、Mixin Networkのクラウドサービスプロバイダーのデータベースがハッカーに攻撃され、メインネットの一部資産が消失し、関与する資金は約2億ドルでした。9月25日、Mixin創業者がライブ配信でこの事件について説明し、被害を受けた資産は主にビットコインのコア資産であり、BOXやXINなどの資産は深刻な盗難は確認されていないと述べました。詳細な攻撃状況については明かさないとしています。
No.2 Euler Finance
損失額:1.97億ドル
攻撃手法:コントラクト脆弱性 - 業務ロジック問題
3月13日、DeFi貸付プロトコルEuler Financeが攻撃され、約1.97億ドルの損失が出ました。根本的な原因は、コントラクトがユーザーの実保有トークン数および寄付後のユーザー台帳の健全性を正しくチェックしていなかったことです。この事件のすべての盗難資金は、攻撃者によって返還されました。
No.3 Poloniex
損失額:1.26億ドル
攻撃手法:秘密鍵漏洩 / APT攻撃
11月10日、孫宇晨氏が運営する取引所Poloniexの関連アドレスから大量の資産が継続的に転送され、盗難の疑いが生じました。その後、孫宇晨氏およびPoloniexがSNS上で盗難事件を公式に認定しました。BeosinセキュリティチームがBeosin Traceを使用して追跡・統計した結果、Poloniexの盗難資産は累計で約1.26億ドルでした。
No.4 HTX & Heco Bridge
損失額:1.1億ドル
攻撃手法:秘密鍵漏洩
11月22日、孫宇晨氏が運営する取引所HTXおよびクロスチェーンブリッジHeco Bridgeがハッカーに攻撃され、合計で1.1億ドルの損失が出ました。うちHeco Bridgeが8660万ドル、HTXが約2340万ドルの損失を被りました。
No.5 Curve/ Vyper
損失額:7300万ドル
攻撃手法:コントラクト脆弱性 - リエントランシー
7月31日未明、イーサリアムプログラミング言語Vyperがツイートで、Vyper 0.2.15、0.2.16、0.3.0バージョンにリエントランシー防止ロックの脆弱性があることを公表しました。ETH転送時にcallbackが呼び出されるため、ETHと組み合わせたlpプールがリエントランシー攻撃を受けやすくなります。その後、Curve公式がツイートで、リエントランシーロックの障害により、Vyper 0.2.15を使用する多くのステーブルコインプール (alETH/msETH/pETH) が攻撃されたと発表しました。この事件の損失額は約7300万ドルでした。
No.6 CoinEx
損失額:7000万ドル
攻撃手法:秘密鍵漏洩 / APT攻撃
9月12日、暗号通貨取引所CoinEXは、リスク管理システムがプラットフォームの取引資産を一時保管するホットウォレットで不審な大口出金活動を検出したとして声明を発表。即座に特別チームを結成して対応にあたったと伝えています。今回の事件では主にETH、TRON、Polygonなどのトークン資産が関与し、盗難額は約7000万ドルでした。
No.7 Atomic Wallet
損失額:6700万ドル
攻撃手法:秘密鍵漏洩 / APT攻撃
Beosin傘下のEagleEyeセキュリティリスク監視・警告・遮断プラットフォームの監視によると、Atomic Walletは6月初旬に攻撃を受け、Beosinチームの統計によれば、チェーン上での既知の被害者の届出情報を総合すると、この攻撃による損失は少なくとも約6700万ドルに上ります。
No.8 Alphapo
損失額:6000万ドル
攻撃手法:秘密鍵漏洩 / APT攻撃
7月23日、暗号通貨決済サービスプロバイダーAlphapoのホットウォレットが盗難に遭い、合計6000万ドルを失いました。この事件は北朝鮮のハッカー組織Lazarusによるものです。
No.9 KyberSwap
損失額:5470万ドル
攻撃手法:コントラクト脆弱性 - 業務ロジック問題
11月22日、DEXプロジェクトKyberSwapが攻撃され、約5470万ドルの損失が出ました。Kyber Networkは、今回のハッカー攻撃はDeFi史上で最も複雑な攻撃の一つであり、攻撃者は一連の正確なチェーン上操作を実行して脆弱性を悪用したと述べています。
No.10 Stake.com
損失額:4130万ドル
攻撃手法:秘密鍵漏洩 / APT攻撃
9月4日、暗号ギャンブルプラットフォームStake.comがハッカーに攻撃されました。攻撃発生後、Stake.comはETHおよびBSC上のホットウォレットで不正な取引が発生したことを認め、調査中であると発表。ウォレットの完全な再セキュリティが完了次第、預入・出金機能を速やかに再開すると述べました。この事件も北朝鮮のハッカー組織Lazarusによるものです。
3、攻撃対象となったプロジェクトの種類
2022年と比較して、2023年は攻撃対象となるプロジェクトの種類がさらに広がり、損失額も特定の少数のタイプに集中しなくなりました。DeFi、CEX、DEX、公的ブロックチェーン、クロスチェーンブリッジ、ウォレットといった一般的なタイプに加え、2023年には決済プラットフォーム、ギャンブルプラットフォーム、暗号ブローカー、インフラ、パスワードマネージャー、開発ツール、MEVロボット、TGロボットなど多様なプロジェクトタイプでもハッカー攻撃が発生しました。

2023年の191件の攻撃事件のうち、DeFiプロジェクトが130件(約68%)を占め、最も攻撃件数の多いタイプです。DeFi攻撃の総損失額は約4.08億ドルで、全損失額の29.2%を占めており、損失額でも最多です。
損失額が2番目に多いのはCEX(中央集権型取引所)で、9件の攻撃により2.75億ドルの損失が出ました。また、DEX(非中央集権型取引所)タイプでは16件の攻撃が発生し、約8568万ドルの損失がありました。総合的に見ると、2023年は取引所タイプのセキュリティインシデントが多発しており、取引所のセキュリティはDeFiのセキュリティに次ぐ第2の課題となっています。

損失額3番目は公的ブロックチェーンで、損失額は約2.08億ドル。これは主にMixin Networkの2億ドル盗難事件によるものです。
2023年、クロスチェーンブリッジの損失額は4番目で、全損失額の約7%を占めました。2022年には、12件のクロスチェーンブリッジのセキュリティ事件で約18.9億ドルの損失があり、同年の総損失額の52.5%を占めていました。2023年はクロスチェーンブリッジのセキュリティ事件が大幅に減少しています。
5番目は暗号決済プラットフォームで、2件のセキュリティ事件(AlphapoおよびCoinsPaid)により合計約9730万ドルの損失が出ました。これら2件の事件の背後にいるハッカーはいずれも、北朝鮮のAPT組織Lazarusとされています。
4、各チェーンにおける損失額の状況
2022年と同様、2023年も攻撃を受けた公的ブロックチェーンの種類が広がっており、これは2023年にCEXの秘密鍵漏洩事件が複数発生し、複数のチェーンで損失が生じたことが主な理由です。損失額の上位5チェーンは、Ethereum、Mixin、HECO、BNB Chain、TRON。攻撃件数の上位5チェーンは、BNB Chain、Ethereum、Arbitrum、Polygon、OptimismおよびAvalanche(並列5位)です。

2022年と同様に、Ethereumは依然として損失額最大の公的ブロックチェーンです。Ethereum上で発生した71件の攻撃により7.66億ドルの損失が発生し、年間総損失の54.9%を占めています。
損失額2位はMixinチェーンで、単一のセキュリティ事件で2億ドルの損失が出ました。3位はHECOで、損失額は約9260万ドルです。

BNB Chainでは76件の攻撃が発生し、全攻撃件数の39.8%を占め、すべてのチェーンプラットフォームの中で最も多くなりました。BNB Chain上の総損失額は約7081万ドルで、大多数の事件(88%)が100万ドル以下に集中しています。
5、攻撃手法の分析
2022年と比較して、2023年の攻撃手法はさらに多様化しており、特にWeb2由来の攻撃手法が増えています:データベース攻撃、サプライチェーン攻撃、第三者サービスプロバイダー攻撃、中間者攻撃、DNS攻撃、フロントエンド攻撃などです。

2023年には、30件の秘密鍵漏洩事件で合計6.27億ドルの損失が発生し、総損失の44.9%を占め、最も大きな損失をもたらした攻撃手法です。大きな損失を出した秘密鍵漏洩事件には、Poloniex(1.26億ドル)、HTX & Heco Bridge(1.1億ドル)、CoinEx(7000万ドル)、Atomic Wallet(6700万ドル)、Alphapo(6000万ドル)があります。これらの大部分の事件は、北朝鮮のAPT組織Lazarusに関連しています。

コントラクトの脆弱性悪用は発生頻度が最も高く、191件の攻撃事件のうち99件(51.8%)が該当します。コントラクト脆弱性による総損失額は4.3億ドルで、損失額では2番目です。
脆弱性の細分化では、発生頻度および損失額ともに最も高いのは業務ロジックの脆弱性であり、コントラクト脆弱性事件の損失額の約72.7%を占め、合計約3.13億ドルの損失が出ました。損失額2位のコントラクト脆弱性はリエントランシーで、13件のリエントランシー脆弱性により約9347万ドルの損失が出ました。

6、典型的な攻撃手法の分析
6.1 Euler Finance セキュリティ事件
事件概要
3月13日、イーサリアムチェーン上の貸付プロジェクトEuler Financeがフラッシュローン攻撃を受け、損失額は1.97億ドルに達しました。
3月16日、Euler財団は、ハッカーの逮捕および盗難資金の返還に役立つ情報を提供した者に100万ドルの報奨金を出すと発表しました。
3月17日、Euler LabsのCEO Michael Bentley氏はツイートで、「Eulerは常にセキュリティ意識が高いプロジェクトだった」と述べました。2021年5月から2022年9月まで、Euler FinanceはHalborn、Solidified、ZK Labs、Certora、Sherlock、Omnisicaの6つのブロックチェーンセキュリティ会社による10回の監査を受けています。
3月18日から4月4日にかけて、攻撃者は資金を段階的に返還し始めました。期間中、攻撃者はチェーン上のメッセージで「他人のお金、他人の仕事、他人の生活を混乱させてしまった」と謝罪し、許しを請いました。

4月4日、Euler Labsはツイートで、交渉の成功により攻撃者がすべての盗難資金を返還したと発表しました。
脆弱性分析
今回の攻撃では、EtokenコントラクトのdonateToReserves関数が、ユーザーの実際の保有トークン数および寄付後のユーザー台帳の健全性を正しくチェックしていませんでした。攻撃者はこの脆弱性を利用して、実際には3000万DAIしか担保していないのに、1億eDAIを寄付しました。
寄付後、ユーザー台帳の健全性が清算条件を満たすため、貸借契約が清算をトリガーします。清算プロセスでは、eDAIとdDAIが清算コントラクトに移されます。しかし、不良債権額が非常に大きいため、清算コントラクトは最大割引率で清算を行います。清算終了後、清算コントラクトは310.93M eDAIおよび259.31M dDAIを保有します。
この時点で、ユーザー台帳の健全性は回復しており、ユーザーは資金を引き出せます。引き出し可能な金額はeDAIとdDAIの差額ですが、プール内には実際には3890万DAIしか存在しないため、ユーザーはこの金額のみ引き出せます。

6.2 Vyper/Curve セキュリティ事件
事件概要
7月31日、イーサリアムプログラミング言語Vyperはツイートで、Vyper 0.2.15、0.2.16、0.3.0バージョンにリエントランシーロックの脆弱性があると発表しました。Curveは、Vyper 0.2.15を使用する複数のステーブルコインプール(CRV/alETH/msETH/pETH)が攻撃され、総損失額は7300万ドルに達したと述べました。その後、約5230万ドルがハッカーによって返還されました。

脆弱性分析
今回の攻撃は主にVyper 0.2.15のリエントランシープロテクションロックの無効化が原因です。攻撃者は、流動性プールのremove_liquidity関数を呼び出して流動性を撤退させる際に、add_liquidity関数をリエントラントに呼び出し、残高の更新がadd_liquidity関数に入る前に行われるため、価格計算に誤りが生じます。
TechFlow公式コミュニティへようこそ Telegram購読グループ:https://t.me/TechFlowDaily Twitter公式アカウント:https://x.com/TechFlowPost Twitter英語アカウント:https://x.com/BlockFlow_News










