月例安全保障レビュー2024年4月

4月のセキュリティー動向と最新情報をお届けします。🙌

月例安全保障レビュー2024年4月

セキュリティは一目瞭然

**2024年4月、DeFi脆弱性の悪用に関連するセキュリティ・インシデントにより、総額~500万ドルの損失が発生した。**ほとんどのセキュリティ・インシデントは「検証されていないユーザー入力」と「アクセス制御の問題」によって引き起こされ、Hedgey FinanceとSaitaChainが重大なインシデントに関与した。

開発者へのアドバイス:* 特に柔軟な calldata を持つプロトコルでは、重要な機能のアクセス制御とユーザー入力の内容を注意深くチェックしてください。過去の関連インシデントはこちら

  • ヘッジファイナンス事件

4月19日、イーサリアム上の@hedgeyfinanceが悪用され、180万ドル以上の損失が発生した。根本的な原因はUnverified User Inputです。プロジェクトチームとセキュリティ会社は4,000万ドルの損失を主張したが、トークンに流動性がなかったため、攻撃者の実際の利益は限られていたことに注意することが重要である。最終的に、攻撃者は数百ドルしか現金化しなかった可能性があるため、この統計は信用できない。根本原因を見るにはここをクリック

  • SaitaChain事件**について

4月24日、SaitaChainのXbridgeが攻撃され、アクセスコントロールの問題により約100万ドルを失った。攻撃者は、トークンをわずか0.15イーサでリストすることで、すべてのトークンを転送することができました。私たちはすぐに攻撃を検知し、プロジェクトチームに通知しました。

  • 不明な契約 (0x80a0)**

4月15日、BSC上の不明なコントラクト(0x80a0)が攻撃され、約600 Kドルの損失が発生しました。Check the alert.

  • パイクファイナンス事件

4月26日、Pike Financeはイーサリアム、Arbitrum、Optimismチェーンで約30万ドルの損失を被りました。根本的な原因は、USDCを排出するために偽造されたCCTPメッセージによって導かれた、検証されていないユーザー入力です。私たちはこのインシデントを即座に検出しましたが、コントラクトがオープンソースではなかったため、攻撃トランザクションを公開する前にプロジェクトチームが確認し、対策を講じるのを待つ必要がありました。

  • 米国初のスマートコントラクト悪用事件

米国初のスマートコントラクト悪用事件で、被告は1,200万ドルを超える資産の不正流用で有罪となり、収益の没収とともに禁固3年の判決を受けた。

搾取に関与したのはCremaFinanceとNIRVANA FINANCE。CremaFinanceだけから880万ドル以上が不正流用された。交渉の結果、CremaFinanceはホワイトハット報奨金として150万ドル(45,455 SOL)を支払うことに合意しました。これは私たちがMetaSleuthを使用して実施したCremaFinance事件のファンドフロー分析です。

MetaSleuthにおけるCremaFinance事件の資金フロー分析](https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/Security_Incidents_c396ba8cc7.png)

👉様々なセキュリティ・インシデントの攻撃トランザクション、根本原因、PoCについての詳細は、セキュリティ・インシデント一覧をご覧ください。

ブログ記事

  • 【セキュリティの観点からEigenLayerとRestakingを検証する】(https://blocksec.com/blog/examining-eigenlayer-and-restaking-from-the-security-perspective#conclusion)

このブログでは、EigenLayerの基本的な考え方を紹介し、restakingのエコシステムにおける新しいセキュリティの脅威を説明する。

  • 2分で100万稼ぐ方法:MetaSleuthを使ってSolana上の "スマート "マネーを追跡する](https://blocksec.com/blog/using-metasleuth-to-track-smart-money-on-solana)**

このブログでは、MetaSleuthを使って、$TIMトークンを買って数百万米ドルを稼いだプロジェクト・インサイダーとして批判されたSolana上のミーム$TIMトークンの「スマート」マネーを追跡する方法を紹介する。

  • インフェルノ・ドレイナーにおける利益配分を理解する](https://blocksec.com/blog/demystifying-profit-sharing-in-inferno-drainer-2)**

このブログでは、多額の損失をもたらす「Inferno Drainer」フィッシング詐欺を暴露し、このような詐欺を避けるために慎重に取引するようユーザーに助言している。

  • Web3フィッシング詐欺における "ROP "の解明](https://blocksec.com/blog/demystifying-rop-in-web3-phishing)**

このブログでは、新しいタイプのWeb3フィッシングを紹介し、フィッシングに遭わないための方法を提案します。

  • ドレイナーが関与するハッキング事件を解明する](https://blocksec.com/blog/demystifying-hacking-incidents-by-drainers)**

このブログでは、Web3ユーザーを狙ったドレイナー関連のハッキング事件の概要を紹介し、ハッカーが採用した手口を明らかにするとともに、ユーザーの意識を高め、これらの手口に対する防御を強化することを目的としています。

  • Web3フィッシングの被害に遭わないために](https://blocksec.com/blog/how-to-avoid-being-a-web3-phishing-victim)**

  • 暗号資産が盗まれた場合、私は何をすべきか](https://blocksec.com/blog/what-should-i-do-if-my-crypto-assets-were-stolen)**

製品アップデート

  • ファルコンのビッグアップグレード!

**プロトコルやLPは、ネストされた構造体、マッピング、配列、特に複雑なデータ構造を含むキー変数を監視できるようになりました!もっと読む

このアップグレードにより、開発者、セキュリティ研究者、LPは、トランザクションやプロトコルの状態をより良く理解し、監視することができるようになり、セキュリティ上の脅威や設定ミスを素早く特定し、プロトコルの安定性と安全な資金を維持することができます。

  • ファルコンエクスプローラー](https://blocksec.com/explorer)のUIを改善しました。

フルスクリーンモード(Shift+Fショートカット)をサポートし、開発者やセキュリティ研究者がより没入して分析に集中できるようになりました。ぜひお試しください!

パートナーシップ

  • Merlin ✖️ BlockSec

BlockSec Phalconは現在、BTC L2のトップであるMerlinを完全にサポートしています!ETH、BSC、Arbitrumに続き、マーリンはファルコンがサポートする4番目のチェーンです!

🛡️ BlockSec Phalcon はマーリンチェーンのオンチェーン活動を24時間365日積極的に監視し、マーリンチェーンにタイムリーなアラートを提供しています。現在、Merlin Chainのプロトコルチームと投資家は、Phalcon](https://app.blocksec.com/subscribe)に加入し、暗号ハッキングの監視とブロック機能を得ることができます。

🚀 Phalcon Explorer もマーリンをサポートしています!トランザクションのトレース、残高の変化、資金の流れを簡単に調べることができます。マーリン・ブロックチェーン・エクスプローラーにソースコードがない主流のコントラクトについては、検証済みのコントラクトへのアクセスを提供します。

  • フォルタ ✖️ BlockSec**

ブロックセックについて

BlockSec社は、世界的に著名なセキュリティ専門家グループによって2021年に設立されたブロックチェーンセキュリティのパイオニア企業である。同社は、新興のWeb3世界のセキュリティとユーザビリティを強化し、その大量普及を促進することに尽力している。この目的のため、BlockSecはスマートコントラクトとEVMチェーンセキュリティ監査サービス、セキュリティ開発と脅威をプロアクティブにブロックするためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、暗号世界で効率的にサーフィンするWeb3ビルダーのためのMetaSuites拡張機能を提供しています。

現在までに、同社は、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど、300以上の尊敬すべきクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalなどの著名な投資家から2回の資金調達ラウンドで数千万米ドルを受け取っています。

公式ウェブサイトhttps://blocksec.com/

公式ツイッターアカウントhttps://twitter.com/BlockSecTeam

Sign up for the latest updates
In-Depth Analysis: The Balancer V2 Exploit

In-Depth Analysis: The Balancer V2 Exploit

On November 3, 2025, Balancer V2 and several forked projects were exploited, causing over $125 million in losses. This blog offers an in-depth technical analysis of the incident.

Phalcon Security: The Proactive Defense Ending Zero-Day Web3 Attacks

Phalcon Security: The Proactive Defense Ending Zero-Day Web3 Attacks

Discover how Phalcon Security spots and stops attacks in the mempool automatically. This shifts Web3 defense from reacting to being proactive.

FSB 2025 Assessment: Stablecoin Regulatory Fragmentation Intensifies Arbitrage Risks

FSB 2025 Assessment: Stablecoin Regulatory Fragmentation Intensifies Arbitrage Risks

The FSB's latest assessment reveals worrying fragmentation in global stablecoin regulation. Uneven rules create risks and allow some to take advantage. This shows we need global standards.