2025年1月のWeb3セキュリティインシデントまとめ:被害総額は約9,819万米ドル
TechFlow厳選深潮セレクト
2025年1月のWeb3セキュリティインシデントまとめ:被害総額は約9,819万米ドル
今月のフィッシング被害者は9,220人で、損失額は1,025万ドルに達した。
Web3業界の深掘り報道に専念し潮流を洞察執筆:MistTrack セキュリティチーム
概要
2025年1月、Web3のセキュリティ事件による被害総額は約9,819万米ドル。そのうち、MistTrack ブロックチェーンハッキングアーカイブ(https://hacked.slowmist.io)によると、40件のハッキング事件が発生し、約8,794万米ドルの損失が生じ、147万米ドルが返還された。原因はコントラクトの脆弱性、アカウント侵害、秘密鍵の漏洩などである。また、Web3アンチスキャムプラットフォームScam Snifferの統計によれば、今月のフィッシング被害者は9,220人に上り、被害額は1,025万米ドルに達した。
(https://dune.com/scam-sniffer/january-scam-sniffer-2025-scam-report)
重大セキュリティ事件
Phemex
2025年1月23日、シンガポールに本拠を置く暗号資産取引所Phemexのホットウォレットが攻撃され、約7,000万米ドルの損失が発生した。Phemex CEOのFederico Variola氏はX上で「皆様へ、あるホットウォレットに関する報告を調査中です。冷蔵庫(コールドウォレット)は依然として安全であり、誰でも確認できます。できるだけ早く追加情報を提供します」と述べた。
(https://x.com/MistTrack_io/status/1882412516518789500)
NoOnes
2025年1月1日、P2P取引プラットフォームNoOnesが攻撃を受け、Ethereum、Tron、Solana、BSC上のホットウォレットから数百件の不審な送金トランザクションが発生し、約720万米ドルの損失が出た。CEOのRay Youssef氏は、この事件の原因はSolanaブリッジが悪用されたためだと説明した。
(https://x.com/ray_noOnes/status/1882744360812306885)
AdsPower
2025年1月24日、AdsPowerのセキュリティチームは侵入事件を発見。ハッカーが悪意のあるコードを散布し、一部のサードパーティブラウザ拡張機能が改ざんされ、470万米ドル以上が盗まれた。MistTrackセキュリティチームが分析に着手している。AdsPowerを利用しており、1月21日18:00から1月24日18:00(UTC+8)の間に拡張ウォレットをインストールまたは手動で更新したユーザーは、拡張ウォレットがバックドア付きバージョン(ニーモニックフレーズ/秘密鍵が盗まれるリスクあり)である可能性があるため、関連ウォレットの資産を速やかに移動することを強く推奨する。
(https://x.com/AdsPowerBrowser/status/1882983731419570220)
Moby
2025年1月8日、攻撃者がMobyコアコントラクトのアップグレード権限を持つ秘密鍵を掌握し、プロトコルが侵害された。この攻撃により、sOLPおよびmOLP流動性プール内の3.77 wBTC、207.76 wETH、1,500,351.5 USDCがリスクにさらされた。MobyはSeal911チームの支援を得て、約147万USDCの回収に成功した。
(https://medium.com/moby-trade/moby-post-mortem-report-growth-plan-504ad5b0dd35)
Orange Finance
2025年1月8日、Arbitrumベースの流動性管理プロジェクトOrange Financeが、マルチシグ設定ミスを悪用され、83万米ドル相当の資産が盗まれた。攻撃者は各バンクの所有権を取得し、実装を変更して預入資産および過剰付与された資金を引き出した。総損失の約94%(約78万米ドル)は預入資産からのもので、残り6%(約4.7万米ドル)は過剰付与によるものだった。
(https://mirror.xyz/0x6FA2aF9a4d6fFe654361F713780963C10412e7c3/gN17YMrLhKKg9YT9a391U74pWr9IhqBUDWUqDyDamjE)
特徴分析とセキュリティ提言
最近、アカウント盗難事件が頻発している。MistTrack ブロックチェーンハッキングアーカイブの統計によると、1月には21件のアカウント盗難事件が発生し、全体の約半数を占めた。特に政治家や政治的内容に関連するアカウントの盗難が顕著であった。ハッカーまたは悪意ある行為者はソーシャルメディアでメムコインを宣伝し、ユーザーのFOMO(取り残される恐怖)心理を利用して資金を集め、その後逃走している。例えば、Xアカウント@TrumpDailyPostsはメムコインを宣伝するツイートを4件投稿後、数分以内に削除し、約125万米ドルを持ち去った。したがって、ユーザーは警戒を強め、トークン購入前に情報源を確認し、ソーシャルメディアでの突然のアナウンス、特に政治家、著名機関、有名人に関連するメムコインには軽信せず、詐欺に巻き込まれないよう注意すべきである。
さらに、MistTrackセキュリティチームは、最近受けた多数の被害者相談がTelegram上の「偽Safeguard」詐欺に関連していることを確認した。関連する悪意ある手法と対応策については新しい手口|Telegram 偽Safeguard詐欺を参照のこと。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@SlowMist_Team
