Web3セキュリティリスク警告:2024年最も影響力の大きかった上位10件の攻撃事件
TechFlow厳選深潮セレクト
Web3セキュリティリスク警告:2024年最も影響力の大きかった上位10件の攻撃事件
本稿では、2024年に発生したWeb3分野における重大なセキュリティインシデント上位10件を振り返り、業界がこれらの教訓を学び、将来のセキュリティ脅威により適切に対応できるよう支援することを目的とする。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Beosin
2024年、ブロックチェーン業界は技術革新とエコシステムの拡大を遂げつつも、ますます厳しさを増すセキュリティ上の課題に直面している。セキュリティ監査会社Beosin傘下のAlertプラットフォームが監視したところによると、公開時点までに2024年にWeb3分野でハッカー攻撃、フィッシング詐欺、プロジェクトチームによるRug Pull(悪意ある資金引き揚げ)によって生じた総損失額は24.91億米ドルに達した。
これらの事件は、秘密鍵管理やスマートコントラクトの脆弱性といった技術的欠陥を露呈するだけでなく、ソーシャルエンジニアリングや内部管理体制における潜在的なリスクも浮き彫りにしている。本稿では2024年のWeb3分野における上位10件の重大セキュリティ事故を振り返り、業界がそこから教訓を得て、将来のセキュリティ脅威により適切に対応できるよう支援することを目的とする。
No.1 DMM Bitcoin
被害額:3.04億米ドル
攻撃手法:秘密鍵漏洩
2024年5月31日、日本の老舗暗号資産取引所DMM Bitcoinが歴史的なサイバー攻撃を受けた。攻撃者は漏洩した秘密鍵を利用して、3億米ドルを超える価値のビットコインを直接移動させ、盗難資金を即座に10以上の異なるアドレスに分散させた。この攻撃は、DMM Bitcoinにおける秘密鍵管理および多層的なセキュリティ対策の深刻な不足を明らかにした。取引所はチェーン上での監視や資金凍結によってハッカー追跡を試みたものの、盗まれたビットコインは分散され、ミキシングツールを使って洗浄されたため、追跡作業は極めて困難となった。
12月24日、日本警察はDMM Bitcoinの盗難事件について、北朝鮮のハッカー組織Lazarus Groupが関与していたことを確認した。Lazarus Groupの過去の攻撃および資金洗浄に関する詳細分析については、「史上最大胆な暗号資産盗難グループを徹底解剖――ハッカー組織Lazarus Groupのマネーロンダリング分析」を参照のこと。
No.2 PlayDapp
被害額:2.90億米ドル
攻撃手法:秘密鍵漏洩
2024年2月9日、PlayDappは重大な打撃を受けた。ハッカーは秘密鍵を窃取し、PLAトークンを20億枚新たに発行(初期価値3650万米ドル)。プロジェクト側との交渉が決裂した後、ハッカーはさらに短期間で159億枚のPLAトークンを発行し、合計2.539億米ドル相当の被害を出した。これらのトークンの一部がGate.io取引所に流入したことを受け、PlayDappはPLAコントラクトの一時停止およびPDAトークンコントラクトへの移行を余儀なくされた。この事件は、ブロックチェーンプロジェクトにおける秘密鍵保護および緊急対応体制の不備を如実に示している。
No.3 WazirX
被害額:2.35億米ドル
攻撃手法:ネットワーク攻撃およびフィッシング
2024年7月18日、インド最大の暗号資産取引所WazirXのSafe Walletマルチシグウォレットが、ハッカーによる精密な攻撃を受けた。攻撃者はソーシャルエンジニアリングによってマルチシグ署名者の一人を誘導し、コントラクトアップグレード取引に署名させることに成功。その後、アップグレードされたコントラクトの権限を利用してウォレット内の全資産を転送した。この事例は、マルチシグウォレットにおける管理権限の設定および操作の透明性に関する潜在的リスクを強調しており、業界全体における内部リスク管理およびセキュリティメカニズムへの深い再考を促している。
この事件に関する詳細な分析および資金追跡については、「Beosin|インド取引所WazirX 2.35億米ドル盗難事件の分析」を参照のこと。
No.4 Gala Games
被害額:2.16億米ドル
攻撃手法:アクセス制御の脆弱性
2024年5月20日、Gala Gamesのある特権アドレスがハッカーに突破され、攻撃者はトークンコントラクト内のmint関数を呼び出して、一度に50億枚のGALAトークンを新規発行した。その後、ハッカーはこれらの増発トークンを段階的にETHに交換し、直接的に2.16億米ドルの損失を引き起こした。事件発生後、Gala Gamesチームは緊急的にブラックリスト機能を起用して一部のハッカー口座を封鎖し、司法手段を通じて損失の回収を試みた。
No.5 Chris Larsen(リップル共同創設者)
被害額:1.12億米ドル
攻撃手法:秘密鍵漏洩
2024年1月31日、リップル(Ripple)の共同創設者であるクリス・ラーセン氏の個人ウォレット4つがハッキングされ、1.12億米ドル相当のXRPが盗まれた。これらのウォレットはハードウェアウォレットなどの二要素保護が不十分であったため、攻撃対象となった可能性がある。事件発生後、バイナンスは420万米ドル相当のXRPを凍結することに成功し、ラーセン氏の資産追跡を支援したが、大部分の資金はすでにDEX(分散型取引所)およびマネーロンダリングサービスを通じて洗浄されていた。
No.6 Munchables
被害額:6250万米ドル
攻撃手法:ソーシャルエンジニアリング攻撃
2024年3月26日、Blast上に構築されたWeb3ゲームプラットフォームMunchablesは、稀な内部浸透型攻撃を受けた。攻撃者はブロックチェーン開発者を装った北朝鮮のハッカーであり、長期潜伏によりコアコードおよび機密キーを取得していた。巨額の損失を出したものの、コミュニティおよびプロジェクトチームからの圧力を受け、最終的にハッカーはすべての盗難資金を返還した。この事件はサプライチェーンセキュリティの重要性を浮き彫りにした。特に、第三者開発者に依存するブロックチェーンプロジェクトにとっては極めて重要な教訓となる。
No.7 BtcTurk
被害額:5500万米ドル
攻撃手法:秘密鍵漏洩
2024年6月22日、トルコ最大の暗号資産取引所BtcTurkが秘密鍵漏洩により攻撃を受け、5500万米ドルを超える暗号資産を失った。バイナンスチームの協力により530万米ドルの資金凍結には成功したが、他の資産は未だ回収されていない。この事件は、中央集権型取引所における秘密鍵管理に対する市場の懸念を一層深めた。
BtcTurk公式が攻撃発生を公表
No.8 Radiant Capital
被害額:5300万米ドル
攻撃手法:秘密鍵漏洩
2024年10月17日、Radiant Capitalのマルチシグウォレットがハッカーに侵入された。同社は3/11という低い閾値の署名検証方式を採用していたため、ハッカーは3人の署名者の秘密鍵を掌握し、オフチェーンでの署名を経てウォレットコントラクトの所有権を悪意あるアドレスに移転させ、結果として5300万米ドルが盗まれる結果となった。この攻撃は、マルチシグウォレットの設計およびガバナンスメカニズムに関する業界全体の再考を促した。
Radiant Capitalは今回の攻撃以前にも、コントラクトの脆弱性により450万米ドル、1900枚以上のETHを失っており、Web3プロジェクトにおけるセキュリティ意識の向上が依然として求められている。
No.9 Hedgey Finance
被害額:4470万米ドル
攻撃手法:コントラクト脆弱性
2024年4月19日、Hedgey Financeは複数のチェーン上コントラクトを標的にした攻撃を受けた。ハッカーはClaimCampaignsコントラクトの承認(approve)機能における脆弱性を悪用し、イーサリアムおよびArbitrum上のトークンを不正に引き出した。被害総額は4470万米ドルに上った。この事件はコード監査の重要性、特にトークン承認ロジックに対する厳格な検証の必要性を示している。
No.10 BingX
被害額:4470万米ドル
攻撃手法:秘密鍵漏洩
2024年9月19日、BingX取引所のホットウォレットがハッカーに侵入され、イーサリアム、BNBチェーン、トロンなど複数のパブリックチェーンが影響を受けた。取引所は迅速に資産移動および出金凍結措置を講じたが、ハッカーはすでに4470万米ドル相当の資産を引き出していた。この攻撃は、中央集権型取引所のホットウォレット管理に伴う高いリスクを改めて浮き彫りにしたものであり、より安全な資産保管ソリューションの模索を業界にさらに促進させる契機となっている。
2024年におけるセキュリティ攻撃事件の頻発は、改めて我々にこうした現実を突きつける――ブロックチェーン業界の発展には、セキュリティの確立が不可欠なのである。秘密鍵の漏洩からコントラクトの脆弱性、内部管理体制の不備から外部攻撃手法の高度化に至るまで、各事件はいずれも深い教訓を残している。ますます複雑化する攻撃脅威に対処するため、業界関係者は技術開発、管理基準、リスク防止において継続的な投資と強化が必要である。今後は、業界全体の協力と技術革新を通じて、より安全なブロックチェーンエコシステムを共に構築し、ユーザーおよび投資家に信頼性の高い保護を提供していくことが期待される。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@Beosin_com
