
3月のWeb3セキュリティインシデント総まとめ:被害総額は約1億3900万ドル
TechFlow厳選深潮セレクト

3月のWeb3セキュリティインシデント総まとめ:被害総額は約1億3900万ドル
2024年3月、セキュリティインシデントが合計33件発生し、被害総額は約1億3900万ドルにのぼった。原因は契約書上の脆弱性、内部悪用、フラッシュローン攻撃、秘密鍵の漏洩、アカウント盗難などである。
執筆:SlowMistセキュリティチーム
概要
「SlowMistブロックチェーンハッキングアーカイブ」の統計によると、2024年3月には合計33件のセキュリティインシデントが発生し、総損失額は約1億3900万米ドルに上った。原因はコントラクトの脆弱性、内部悪用、フラッシュローン攻撃、秘密鍵の漏洩、アカウント盗難など多岐にわたる。
主な出来事
WOOFi
2024年3月5日、DEX WOOFiがArbitrum上で利用しているsPMMアルゴリズム(WOOFi取引価格を制御)が悪用された。この攻撃は一連のフラッシュローンによって構成され、攻撃者は低流動性を利用してWOOの価格を操作し、より低い価格でフラッシュローンを返済した。攻撃者は極めて短時間に3回繰り返し攻撃を行い、フラッシュローンの返済後、約875万米ドルの利益を得た。

(https://twitter.com/_WOOFi/status/1765150687166415129)
Unizen
2024年3月9日、DeFi取引所Unizenは、プロジェクトのスマートコントラクトにおける外部呼び出しの脆弱性を悪用され、約210万米ドル相当のUSDTを損失した。3月12日、UnizenのCTOであるMartin Granström氏はツイートで、4人のハッカーから18.5万米ドル相当の盗難資金の回収が完了したと報告した。

(https://twitter.com/SlowMist_Team/status/1766311510362734824)

(https://twitter.com/MartinGranstrom/status/1767279080380973084)
Mozaic
2024年3月15日、DeFiプロジェクトMozaicが攻撃を受け、約200万米ドルが盗まれた。Mozaicによれば、この盗難は開発者の一人が実行したものであり、当該人物はコアチームメンバーが保有する秘密鍵を取得することに成功したという。またMozaicは、盗難資金の約90%が取引所MEXC上で凍結されたと述べている。

(https://twitter.com/Mozaic_Fi/status/1768754080271196178)
Remilia
2024年3月17日、Miladyの母体企業Remiliaのホットウォレットおよびマルチシグ金庫がハッキングされ、複数の公式Remiliaウォレットの資産が移転・売却された。Miladyの創設者Charlotte Fang氏は自身がハッキングされたとツイートした。同プロジェクトの財務管理にはマルチシグ方式が採用されていたが、秘密鍵はパスワードマネージャーに保存されており、Fang氏はそのマネージャーが突破されたと説明している。攻撃者は約490ETH(約180万米ドル)、5.8万米ドル相当のUSDC、130以上のMilady NFT、320のRemilio NFT、およびNFTXプラットフォームで発行された数百の派生トークンを盗んだ。最低価格で換算しても、これらの資産の価値は600万米ドルを超える。

(https://twitter.com/CharlotteFang77/status/1769128702561198519)
Dolomite
2024年3月20日、Arbitrumエコシステム内の分散型取引プロトコルDolomiteの旧コントラクト(イーサリアムメインネット上)が脆弱性により攻撃を受け、約187名の被害者が発生した。具体的な損失は1,245,271 USDC、94,423 DAI、165.9 WETH(合計約180万米ドル)。3月24日時点で、SlowMistセキュリティチームおよび他の協力者の支援のもと、Dolomiteは盗難資金の90%を回復した。これに対し、DolomiteチームはSlowMistセキュリティチームへ感謝を表明した。

(https://twitter.com/Dolomite_io/status/1773845966707454026)
Super Sushi Samurai
2024年3月22日、Blast Layer 2上に構築された新規ブロックチェーンゲームSuper Sushi Samuraiは、トークンコントラクトの脆弱性により攻撃され、約460万米ドルを損失した。盗難直後、攻撃者はプロジェクト側に連絡し、「ホワイトハット」として行動していると主張。その後、Super Sushi Samuraiは資金が全額返還されたことを確認し、そのうち5%をバウンティとして支払ったと発表した。

(https://twitter.com/SSS_HQ/status/1771054306520867242)
Curio Ecosystem
2024年3月24日、RWAインフラストラクチャCurio Ecosystemが攻撃され、約1600万米ドルを損失した。これはMakerDAOベースのスマートコントラクトが含まれるエコシステム内での出来事。攻撃の原因は権限アクセスロジックの脆弱性と疑われており、攻撃者はこれを悪用して追加の10億枚のCGTを不正に発行した。

(https://twitter.com/curio_invest/status/1771635979192774674)
Munchables
2024年3月27日、BlastエコシステムのプロジェクトMunchablesが攻撃され、約6250万米ドルを損失した。同日、Blast創設者Pacman氏は「Blastコア貢献者がマルチシグを通じて9700万米ドルの資金回収を完了した。元Munchables開発者が最終的にすべての資金を返還することを選択し、身代金は不要だった」とツイートした。

(https://twitter.com/PacmanBlur/status/1772871466935013701)
Prisma Finance
2024年3月28日、分散型貸借プロトコルPrisma Financeが攻撃され、総損失は約3257.7 ETH(約1160万米ドル)。攻撃の原因は、MigrateTroveZapコントラクトのonFlashloan関数に適切な入力検証が欠けていたため、攻撃者が移行データを偽造し、許可されていない担保品の移転を実行できたことにある。これにより、正当なPrisma Financeユーザーが被害を受けた。

(https://twitter.com/PrismaFi/status/1773316945430852058)
同日、Prisma Finance攻撃者の一人と特定された0x2d4で始まるアドレスからプロジェクト側に「今回の行動はホワイトハットによる救出であり、返金先の連絡先を教えてほしい」とメッセージが送られた。しかし、その後の双方のやり取りは円滑に進まなかったようだ。

(https://etherscan.io/idm?addresses=0x2d413803a6ec3cb1ed1a93bf90608f63b157507a,0xd8531a94100f15af7521a7b6e724ac4959e0a025&type=1)
Solana
最近、Solanaエコシステムは一連のウォレット盗難問題に対処している。正確な原因はまだ特定されていないが、一部の盗難事件はSolareumのような取引ボットに関連している。セキュリティ研究者Plum氏の情報によると、SolareumのTelegram取引ボットの脆弱性が約100万米ドル相当のSOL損失を引き起こした。

(https://twitter.com/Plumferno/status/1774549022813872164)
まとめ
今月発生した33件のセキュリティインシデントのうち、4つのプロジェクト(Munchables、Super Sushi Samurai、Dolomite、Unizen)が合計約6846万米ドルの盗難資金を回収した。
今月発生した内部悪用による3件の事件で損失は6540万米ドルに達し、全体の盗難額の46.9%を占めた。SlowMistセキュリティチームは、プロジェクト側に対して内部セキュリティ対策の徹底的な見直しと、機密情報および資産へのアクセス制御の強化を推奨する。
今月発生したコントラクト脆弱性悪用による8件の事件では、約3689万米ドルの損失が出た。SlowMistセキュリティチームは、プロジェクト側が常に警戒を怠らず、定期的なセキュリティ監査を実施し、新たな脅威や脆弱性を継続的に追跡・解決することで、プロジェクトおよび資産の安全を最大限に保護すべきだと助言する。
最後に、本稿で紹介したのは今月の主要なセキュリティインシデントに限定されており、個人ユーザーの盗難事件は統計対象外である。それ以外のブロックチェーンセキュリティインシデントについては、SlowMistブロックチェーン被黒アーカイブ(https://hacked.slowmist.io/)で確認可能。原文を読むにはリンクをクリックすると直接遷移できる。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










