月次セキュリティレビュー：2024年2月

セキュリティ・アット・ア・グランス 👀

2024年2月、DeFiの脆弱性により約800万ドルの損失が発生しました。多数の悪意ある提案が検出されており、DAOにとって注意喚起となっています。さらに、Tornado Cashのフロントエンドで見つかったバックドアにより、悪意のあるアクターが3200 Ether以上を盗み出すことができました。

DeFiエクスプロイト

• Senecaエクスプロイト事件

2月29日、EthereumとArbitrum上のSenecaがエクスプロイトに見舞われ、600万ドルの損失が発生しました。根本原因は任意のコール問題でした。DeFiユーザーは定期的に承認を確認し、注意を怠らないようにしましょう！ これについてもっと読む。

• Blueberryエクスプロイト事件

2月23日、Ethereum上のBlueberryがエクスプロイトに見舞われ、140万ドルの損失が発生しました。根本原因はトークン価格正規化における一貫性のないロジックの使用であり、価格ソースとその正規化方法との間に不一致がありました。coffeebabe_ethのMEVボットは、エクスプロイトをフロントランし、367 Etherを返還することに成功しました。これについてもっと読む。

• DeezNutz_404エクスプロイト事件

2月22日、Ethereum上のDeezNutz_404がエクスプロイトされ、総損失額は約17万ドルと推定されています。根本原因は自己転送による計算問題でした。ERC404シリーズのトークンは、類似のエクスプロイトを複数経験しています。投資を行う際は注意してください。これについてもっと読む。

• Particle Tradeエクスプロイト事件

2月15日、Ethereum上のParticle Tradeがエクスプロイトされ、約14万ドルの損失が発生しました。根本原因は検証されていないユーザー入力でした。これについてもっと読む。

• CheckDot Protocol 悪意ある提案事件

2月1日、悪意のあるアクターがCheckdot Protocolに悪意のある提案を提出し、潜在的な損失額は12万ドルでした。Checkdotチームに通知した後、彼らは脅威の深刻度をクリティカルと認識し、修正を実装しました。

🚨 2月には複数の悪意ある提案（nounsbr、LeagueDAO、wearecultdaoなど）が検出されました。DAOsは提案攻撃のリスクに注意してください。

👉 上記のインシデントの攻撃トランザクション、根本原因、PoCは、セキュリティインシデントリストで確認できます。

バックドア

• Tornado Cash フロントエンド バックドア事件

悪意のある開発者がTornado Cashのフロントエンドにバックドアを仕込み、預金者の認証情報と少なくとも3200 Etherの預金を盗みました。Tornado Cashが制裁を受けた後、プロジェクトはコミュニティガバナンスに移行しました。それ以来、プロジェクトは複数の提案攻撃の標的となっています。

ブログ記事

2023年「驚くべき」セキュリティインシデント トップ10

"歴史から学ぶべきことは、歴史から学ばないということだ。"

このブログでは、2023年に言及に値するトップ10のセキュリティインシデントとその理由を概説します。

各セキュリティインシデントについて、根本原因と攻撃手順も以下の別ブログ記事で紹介しています。

• #1: Flashbots Relayの脆弱性を悪用したMEVボットの収奪

• #2: Euler Finance事件：2023年最大のハッキング

• #3: KyberSwap事件：極めて微妙な計算による丸め誤差の巧妙な悪用

• #4: Curve事件：コンパイラエラーにより無害なソースコードから不正なバイトコードが生成される

• #5: Platypus Finance：幸運にも3回の攻撃を回避

• #6: Hundred Finance事件：脆弱なフォークされたプロトコルにおける精度関連エクスプロイトの波を触媒

• #7: ParaSpace事件：業界で最もクリティカルな攻撃を阻止するための時間との戦い

• #8: SushiSwap事件：下手な救助の試みが一連の模倣攻撃につながる

• #9: MEVボット 0xd61492：巧妙なエクスプロイトによる捕食者から獲物へ

• #10: ThirdWeb事件：信頼されたモジュール間の互換性のないことが脆弱性を露呈

Puffer Protocolのアクセス制御メカニズムを解明

#PufferProtocolがどのように資金を安全に保っているか、ご存知ですか？BlockSecによるアクセス制御アーキテクチャの詳細な分析をご覧ください！役割、スマートコントラクト、9億ドル以上の資産を管理する戦略を理解しましょう。知識は力です！

ブログ：BlockSecがWeb3エクスプロイト1500万ドルをリアルタイムで傍受した方法

CEOのAndy Zhouが、ホストのDeGatchiと共にScraping Bitsポッドキャストに出演し、Web3での攻撃の阻止方法について語りました。このブログはポッドキャストの内容のトランスクリプトです。

エキサイティングなパートナーシップ

Puffer Finance（TVL 4億6100万ドルのトップリステーキングプロトコルの一つ）と提携し、キャンペーンの包括的な監査を行うことを発表できることを嬉しく思います。

さらに、セキュリティ対策を強化するために、Phalcon（当社の攻撃監視およびブロックプラットフォーム）をPufferのプロトコルに統合します。

イベント

3月1日から9日まで、BlockSecチームは米国を訪問します。

コラボレーション、チャット、ブロックチェーン関連のあらゆるご相談をお待ちしております。ミートアップについてはDMでお問い合わせください！

📍最初の目的地：#ETHDenver、3月1日から3月2日

📍2番目の目的地：シリコンバレー、3月3日から3月9日

製品アップデート

2月には、Phalcon 3.0ウェビナーを開催し、ユーザーからPhalconに関する貴重なフィードバックを収集しました。

3月には、プロトコル、LP/トレーダー、L1/L2チェーン、取引所向けにカスタマイズされた、ハッキングを自動検出・ブロックする次世代SaaSプラットフォームであるPhalcon 3.0をローンチします。

Web3セキュリティ革命にご期待ください！🚀

情報収集を怠らず、安全を確保しましょう！また次回お会いしましょう！👋