
Web3セキュリティ月報|5月にフィッシング事件が相次ぐ、オンチェーンツールはいかに対応したか?
TechFlow厳選深潮セレクト

Web3セキュリティ月報|5月にフィッシング事件が相次ぐ、オンチェーンツールはいかに対応したか?
今月の全ネットワークにおける累計損失額は約1億4000万ドルで、4月と比べて27.27%上昇した。
今月、ネットワーク全体のセキュリティインシデントによる損失額は前月比27.27%増加し、フィッシングおよび詐欺事件が60%以上を占めました。セキュリティ意識はデジタル資産を守る第一の防衛ラインです。OKLinkは40以上の主要ブロックチェーンエクスプローラとワンストップ検索窓口を提供しており、アドレス監視、トークン許可照会、アドレスヘルスチェックなどのツールを通じて、皆様の資産安全を全面的にサポートします。

1、今月、ネットワーク全体での累計損失額は約1.4億米ドルで、4月比27.27%増加しました。
2、公式SNSチャネルでの詐欺およびフィッシング事件は合計27件発生し、損失額の割合は60.08%に達しました。主な攻撃経路はX(旧Twitter)、Discordおよび各種フィッシングサイトなどです。
3、「REKT」と「RugPull」による損失の割合はそれぞれ16.89%および1.37%、その他のセキュリティインシデントは21.66%を占めました。
ケース分析
5月15日、Sonne Financeが攻撃を受け、約2000万米ドルの損失が出ました。原因は、プロトコルが投票により新しいVELOマーケットを追加した際、プロジェクト側がVELOマーケットに初期資金を投入するのを怠ったため、ハッカーが古典的な「rounding issue(端数処理問題)」を悪用して、VELOマーケットの担保率を操作し利益を得たものです。
OKLinkはすでに該当アドレスに #Hack ラベルを付与しています。https://www.oklink.com/zh-hans/optimism/address/0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

攻撃手順:
1) 攻撃者が攻撃用コントラクト 0xa78aef を呼び出し、soVELOマーケットに初期預入を行い、2 WEIのsoVELOを取得;

2) 主攻撃コントラクト 0x02fa26 が先行してtimelockコントラクトを呼び出し、担保係数を設定。これにより、soVELOマーケットの資産が他のマーケットでの貸借に担保として使用可能になる;

3) フラッシュローンで約3500万VELOを借り入れ、soVELOマーケットコントラクトに寄付して為替レートを操作。これにより、2 WEIのsoVELOが大量のVELO、つまり大量の担保価値を代表できるようになる;

4) サブ攻撃コントラクト 0xa16388 を作成し、そこに2 WEIのsoVELOを送信。その後、265 WETHを借入し、1 WEIのsoVELOを使って約3500万VELOを償還。この際、操作された為替レートにより計算上のsoVELO数量が約1.9999 WEIとなり、四捨五入によって最終的に1 WEIとなる;

5) サブ攻撃コントラクト 0xa16388 の借入を清算し、1 WEIのsoVELOを回収して主攻撃コントラクト 0x02fa26 に戻す。この時点では為替レートが小さくなっているため、少量のWETHで1 WEIのsoVELOを取得できる;

6) 再度1 WEIのsoVELOを新規発行し、soVELOマーケットに寄付することで為替レートを再操作。上記のステップを繰り返し、より多くのWETH、USDCなどの資産を借り出していく。

問題のあるコード:

最大のセキュリティインシデント - RugPull
5月23日、偽のTONトークンプロジェクトでRugPullが発生し、約60万米ドルの損失が出ました。
最大のセキュリティインシデント - フィッシング・詐欺
5月3日、大規模ウォレットユーザーがフィッシング攻撃を受け、約7000万米ドル(1155 WBTC)を失いました。しかし5月10日、ハッカーは90%の資金を被害者に返還しました。
最大のセキュリティインシデント - 秘密鍵漏洩
5月21日、Gala Gamesが攻撃を受け、秘密鍵が漏洩した可能性があります。攻撃者は50億個のGALAを新規発行し、約2億米ドル相当の価値を持ちました。GALAトークンを売却することで、最終的に約2100万米ドルの利益を得ました。5月22日、攻撃者はすべての資産を返還しました。
OKLinkセキュリティアドバイス
今月はフィッシング攻撃と秘密鍵漏洩が大きな割合を占めました。OKLinkでは、個人情報の保護を徹底し、絶対に他人に秘密鍵やリカバリーフレーズを教えないようにご注意ください。また、単純にスクリーンショットなどで保存することも避けてください。さらに、資金の送金時には受取アドレスを必ず慎重に確認してください。取引履歴やチャット履歴からのコピーであっても、正確性を改めて確認することが重要です。セキュリティ意識こそがWeb3世界における最強の盾であり、デジタル資産を守る第一の防衛ラインとなります。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










