Q3セキュリティ四半期レポート公開|全世界のブロックチェーン関連損失額は7.4億ドルに達し、その約5割がフィッシング詐欺によるもの
TechFlow厳選深潮セレクト
Q3セキュリティ四半期レポート公開|全世界のブロックチェーン関連損失額は7.4億ドルに達し、その約5割がフィッシング詐欺によるもの
2024年Q3における全ネットワークのブロックチェーン上での累計損失額は約7.43億米ドルで、前四半期比58%増加した。主要な攻撃事件は110件発生し、そのうち詐欺およびフィッシング事件は61件で、損失額は3.4億米ドルにのぼり、全体の損失額の46.03%を占めた。
Web3業界の深掘り報道に専念し潮流を洞察2024年Q3、全ネットワークにおけるチェーン上での累計損失額は約7.43億ドルで、前四半期比58%増加しました。主な攻撃事件は110件発生し、そのうち詐欺およびフィッシング事件は合計61件で、損失額は3.4億ドル、損失割合は46.03%でした。
OKLinkのデータによると、秘密鍵漏洩による損失は約2.7億ドルで、全体の36.06%を占めています。REKT(重大なセキュリティ侵害)事件による損失は約8,042万ドルで、10.78%を占めます。RugPull(悪意あるプロジェクト終了)事件による損失は約461万ドルで、0.62%です。
7月と8月には、毎月約3億ドルの大きな損失が発生しました。9月の総損失額は急激に57%減少しましたが、依然としてフィッシング攻撃や秘密鍵漏洩などのセキュリティリスクに直面しており、こうしたセキュリティインシデントは高いランダム性を持ち、無視できない脅威となっています。OKLinkは、ユーザー各位がセキュリティ意識を高め、検証されていない署名リクエストを安易に信じないよう注意喚起しています。特に「Permit」の承認や資金移動に関わる際は、必ず署名の真正性を確認してください。
また、ご自身の秘密鍵やリカバリーフレーズは適切に保管し、第三者に絶対に開示しないでください。スクリーンショットやセキュリティの低い端末への保存も避けてください。
最大のセキュリティ事件-フィッシング・詐欺
8月19日、ある潜在的な被害者がフィッシング攻撃により4,064 BTC(約2.38億ドル相当)を失った模様です。盗まれた巨額の資金は、ThorChain、eXch、Kucoin、ChangeNow、Railgun、Avalanche Bridgeなど複数のプラットフォームを通じて、迅速かつ複雑な送金操作が行われました。
最大のセキュリティ事件-秘密鍵漏洩
7月18日、WazirX取引所のマルチシグウォレットの秘密鍵が漏洩し、約2.35億ドルの損失が発生しました。
最大のセキュリティ事件-REKT
9月3日、Penpieの報酬プロトコルにリエントランシー脆弱性が存在し、攻撃を受け、約2,734万ドルの損失が発生しました。
最大のセキュリティ事件-RugPull
7月21日、ETHTrustFundがRugPullを行い、Base上で約200万ドル相当の暗号資産を窃取しました。
ケース分析
9月3日、Penpieのコントラクトがリエントランシー攻撃を受けました。攻撃者はリエントランス段階で流動性を追加し、報酬額を偽装することで、コントラクト内の本来の報酬トークンを不正に取得しました。資産損失は高額な2,734万ドルに達しました。
1. 攻撃者は悪意のあるSY_1トークンコントラクトを使用し、Pendleプロトコル上に悪意のあるSY_1_PENDLE-LPTマーケットを作成しました。その後、この悪意のあるマーケットを利用してPenpie上に新たなステーキングプールを作成し、大量のSY_1_PENDLE-LPTトークンをそのプールに預け入れました。
2. 攻撃者はフラッシュローンで大量のwstETH、sUSDe、egETH、rswETHトークンを調達し、これらをSY_1トークンコントラクトに預け入れて、あたかもSY_1コントラクトから得た報酬であるかのように見せかけました。その後、Penpie.batchHarvestMarketRewards関数を呼び出し、この関数がSY_1トークンコントラクトのclaimRewards関数をトリガーして、報酬トークンを取得しようとします。
3. しかし、SY_1トークンのclaimRewards関数内で、攻撃者はPenpieプロトコルのリエントランシー脆弱性を悪用し、フラッシュローンで得たwstETH、sUSDe、egETH、rswETHをそれぞれ対応するPendleマーケットに預け入れ、得られたLPトークンをPenpieプロトコルに再び預け入れました。
この操作はPenpie.batchHarvestMarketRewards関数の実行中に発生したため、Penpieは誤ってこれらの新規預入分を報酬トークンと判断し、誤った数量の報酬トークンをRewardDistributorコントラクトに送信してしまいました。攻撃者はこの悪意のあるPendleマーケットの唯一の預入者であったため、すべての報酬を独占的に獲得できました。
4. 最後に、攻撃者はPenpieからすべてのPendle-LPトークンを引き出し、続いてPendleからwstETH、sUSDe、egETH、rswETHなどを引き出してフラッシュローンを返済しました。
OKLinkアドバイス
OKLinkは、ユーザーがチェーン上での操作を行う際には、アドレスを慎重に確認し、アドレス改ざんによる損失を防ぐよう呼びかけています。使用していないコントラクトの許可は定期的に確認・取り消すことをおすすめします。これにより、悪意あるコントラクトによる悪用を防止できます。OKLinkは、トークン許可照会、アドレス監視、コントラクト比較などの機能を提供しており、簡単にトークンの許可を管理でき、コントラクトリスクを的確に把握できます。左下の「続きを読む」をクリックしてぜひ体験してください。
高利回りのプロジェクトに対しては冷静な判断が必要です。特に透明性がなく、監査報告書もないプロジェクトには注意し、RugPullやREKTの罠に陥らないよう警戒しましょう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@OKLink
