
1月のWeb3セキュリティインシデント総まとめ:被害額は約1億6000万ドル
TechFlow厳選深潮セレクト

1月のWeb3セキュリティインシデント総まとめ:被害額は約1億6000万ドル
2024年1月には、合計56件のセキュリティインシデントが発生し、被害総額は約1億6000万米ドルに上った。
執筆:慢霧セキュリティチーム
概要
「慢霧ブロックチェーンハッキングアーカイブ」の統計によると、2024年1月には合計56件のセキュリティインシデントが発生し、総損失額は約1億6000万米ドルに上った。原因はコントラクトの脆弱性、DDoS攻撃、フラッシュローン攻撃、価格操作、アカウント盗難など多岐にわたる。
主な出来事
Radiant Capital
2024年1月3日、マルチチェーンレンディングプロトコルのRadiant Capitalが攻撃を受け、1900ETH(約450万米ドル)を損失した。分析によると、ハッカーはレンディング市場(Compound/Aave由来)で新しいマーケットがアクティベートされるタイミングの隙間を突いたものであり、この脆弱性は現在のCompound/Aaveコードベースで既知の丸め誤差(rounding)問題にも依存している。
1月4日、Radiant Capitalは今回の攻撃によりWETHマーケットにプロトコルTVLの約1.3%相当の不良債権が発生したと発表した。1月5日にはRFP-27提案を提出し、Arbitrum上でのレンディングマーケットの資本再構成およびWETHマーケットにおける過剰債務の返済について、Radiant DAOの戦略とタイムラインに基づき合意を得ようとした。

(https://twitter.com/RDNTCapital/status/1742638364933714112)
Gamma
2024年1月4日、流動性管理プロトコルGammaが攻撃され、約618万米ドルを損失した。Gamma側は、Gamma金庫にはフラッシュローンから保護するための4つの主要な預入保護手段があり、その一つとして「価格変動のしきい値を設定し、一定範囲を超える価格変動時には預入を禁止する」仕組みがあると説明した。問題は、この価格変動しきい値が高すぎたことであり、特定のLSTおよびステーブルコイン金庫では価格変動範囲が-50%~+100%に達しており、攻撃者が価格を操作してしきい値まで引き上げ、大量のLPトークンを鋳造することを可能にしてしまった。

(https://medium.com/gamma-strategies/post-mortem-remediation-plan-9a62f10d90f3)
Narwhal
2024年1月5日、流動性マイニングプロジェクトNarwhalのプロトコルが攻撃され、約150万米ドルを損失した。すべてのNRWトークンはUSDTに交換され、Stargateブリッジを通じてETHチェーンへ移された。盗まれた資金の大半はTornado Cashへ送金されている。

(https://twitter.com/Narwhal_fyi/status/1744042646954488145)
Coinspaid
2024年1月6日、暗号資産決済サービスプロバイダーCoinspaidで複数の不正取引が発生し、ハッカーが約750万米ドル相当の暗号資産を盗んだ。具体的には480万USDT、500ETH、9700万CPD、10.6万USDC、2.4万BSC-USD、268.5BNBが含まれる。
Socket
2024年1月16日、相互運用性プロトコルSocketは、セキュリティインシデントが発生したことをツイートした。攻撃者は、ユーザーに代わってトークン交換を行う新規追加モジュールのバグを悪用した。このモジュールの脆弱性により、Socket Gatewayコントラクトに無限承認を与えていたユーザーの資金が盗まれた。攻撃はイーサリアム上で行われた2件の悪意あるトランザクションによって実行され、盗まれた金額は約330万米ドルだった。1月23日、慢霧セキュリティチームを含む関係各所の協力により、Socketは1032ETH(約220万米ドル)の回収に成功。Socketチームは慢霧セキュリティチームに対し謝意を表明した。

(https://twitter.com/SocketDotTech/status/1749734794320363802)
Manta Pacific
2024年1月18日、Manta Networkのツイートによると、Manta PacificチェーンはUTC時間午前9時頃にRPC攻撃を受けた。Manta Network共同創設者のKenny Li @superanonymouskは、同ネットワークはUTC午前9時30分、つまりTGEイベント開始時に、巧妙に計画されたDDoS攻撃を受けたと説明した。RPCノードは1億3500万回以上のリクエストを受け、非常に激しくかつ組織的な攻撃であったことが示された。

(https://twitter.com/superanonymousk/status/1747968680686993800)
HTX
2024年1月19日、HTXはソーシャルメディアでアプリケーションに障害が発生していることをユーザーに警告し、技術チームが問題解決に取り組んでいると発表した。トロンの創設者ジャスティン・サン氏もツイートで、htx.comおよびHTX_DAOがDDoS攻撃を受けていると述べた。

(https://twitter.com/justinsuntron/status/1748319971837710471)
Concentric Finance
2024年1月22日、Camelot V3プロトコルを基盤とするDeFiプロトコルConcentric Financeが攻撃され、約170万米ドルを損失した。Concentric Finance公式は、コントラクトデプロイメントウォレットを保持していたチームメンバーが標的型ソーシャルエンジニアリング攻撃を受け、攻撃者がバグを利用して金庫をアップグレードし、新たなLPトークンを鋳造してプラットフォーム資産を空にしたと説明した。

(https://mirror.xyz/concentrictreasury.eth/duXXwBErblGw4CjbsA2JPoRAJqVNsDtiUsK4R6_vhD0)
GMEE
2024年1月23日、ブロックチェーンゲームプラットフォームGMEEは、Polygon上のGMEEトークンコントラクトが数時間前に不正なGitLabアクセスを受け、6億枚のGMEEトークン(約700万米ドル相当)が盗まれたとツイートした。その後、攻撃者はこれらのトークンをイーサリアムおよびMATICに交換し、さまざまなDEXで売却することで、取引所におけるGMEEトークン価格に影響を与えた。

(https://twitter.com/GAMEEToken/status/1749652962849464727)
Nebula Revelation
2024年1月25日、宇宙テーマのオープンワールドWeb3ゲームNebula Revelationのステーキングコントラクトがリエントランシー攻撃を受けた。1月28日、Nebula Revelationは補償プランを公表し、完全な補償を行うと宣言。盗難前の価格でユーザーに支払いを行うことで公正性を確保するとした。

(https://twitter.com/NBLGAME/status/1751580737768456594)
Somesing
2024年1月27日、韓国のWeb3音楽SNSサービスSomesingは、先週土曜日に脆弱性攻撃を受け、ネイティブトークンSSX 7.3億枚(約1158万米ドル)を損失したと発表した。Somesingは「今回のハッキング事件はSomesingチームのメンバーとは一切関係なく、攻撃手法から判断すると、仮想資産を狙った専門ハッカーによるものと考えられる」と述べた。同社は国家警察庁に通報し調査を依頼しており、国際刑事警察機構(インターポール)にも連絡する予定である。
Goledo Finance
2024年1月28日、ConfluxエコシステムのレンディングプロトコルGoledo Financeが攻撃され、790万CFX(約170万米ドル)を損失した。Goledoチームは貸出プールでの大規模な借り出しについて初期調査を完了し、攻撃がフラッシュローンに関連していることを確認した。

(https://twitter.com/GoledoFinance/status/1751442740200517984)
Abracadabra Money
2024年1月31日、DeFiプロトコルAbracadabra Money (MIM_Spell)が攻撃され、約650万米ドルを損失した。その後、Abracadabra.Money (MIM_Spell)はツイートで進展を報告し、技術チームが脆弱性の原因を特定したと発表。特定のCauldrons V3およびV4を対象に、未承認のMIM借用が可能になるバグがあったが、現在はこれらの金庫の借入限度額をゼロに設定することで問題を緩和している。チームはDAO金庫が被害額650万米ドルを完全に担保し、安全な運営を保証すると述べた。

(https://twitter.com/MIM_Spell/status/1752723973891059807)
Ripple
2024年1月31日、オンチェーン探偵ZachXBTが明らかにしたところによると、Rippleがハッキングされ、2.13億XRP(約1.125億米ドル)が盗まれた。Ripple共同創設者のクリス・ラーセン氏はツイートで、「昨日、私の個人所有のいくつかのXRPアカウント(@Rippleではない)が攻撃を受けたが、直ちに問題を発見し、取引所に対して影響を受けたアドレスの凍結を通知した。法執行機関がすでに介入している」と述べた。

(https://twitter.com/chrislarsensf/status/1752702297971532258?s=20)
まとめ
今月はDDoS攻撃が5件発生しており、プロジェクト側はネットワーク監視ツールを導入し、定期的にトラフィックを分析して異常な通信や潜在的な攻撃を早期に検出することが推奨される。今月のRug Pull(詐欺的プロジェクト撤退)は17件に上り、全セキュリティインシデントの約30%を占め、約526万米ドルの損失を出した。ユーザーはプロジェクト参加前に、プロジェクトの背景やチーム情報を十分に調査し、投資先を慎重に選ぶべきである。また、フラッシュローン攻撃は今月3件発生し、約635万米ドルの損失をもたらした。慢霧セキュリティチームは、プロジェクト側が常に警戒を怠らず、定期的なセキュリティ監査を実施し、新たな脅威や脆弱性を追跡・解決することで、プロジェクトおよび資産の安全性を最大限に守ることを勧める。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










