月次セキュリティレビュー:2024年5月

5月のセキュリティトレンドと最新の開発状況をチェックしましょう。🙌

月次セキュリティレビュー:2024年5月

セキュリティ概要 👀

DeFiエクスプロイト

  • Gala Game

5月20日、Galaの管理者秘密鍵が盗まれ、攻撃者は50億GALAトークンをミントし、ブロックチェーン上で2,100万ドル相当のトークンと交換しました。その後、Galaからの公式報告では、この侵害はサードパーティの契約業者によるものであり、不正ユーザーの削除を含む社内手順は是正されたと示されました。社内調査の結果、攻撃者の身元が確認され、盗まれた資産は全額返還されました。

公式レポート:Gala News

プロジェクトチームにとって、特権操作のための必要な監視システムを確立することが重要です。秘密鍵の不十分な管理は、内部および外部の攻撃による管理者権限または秘密鍵へのアクセスという深刻なリスクをもたらします。この例では、Phalconを採用することで損失を回避できた可能性があります。

  • Sonne Financeインシデント

5月14日、Optimism上のSonne Financeがエクスプロイトされ、2,000万ドル超の損失が発生しました。根本原因はCompound V2の精度損失でした。Sonneチームはこの問題に気づいており、市場展開中に流動性を追加して問題を回避する計画でしたが、攻撃者は欠陥を悪用しました。タイムロック内の複数のスケジュールされたトランザクションが誰でも実行できる状態になっており、攻撃者は流動性を追加せずに市場展開を実行し、エクスプロイトを完了しました。

SonneがPhalconを使用していれば、攻撃をより早く検知し、損失を2,000万ドルではなく300万ドルに抑えることができたでしょう。詳細はこちら

  • TCH

5月17日、TSCはBSCネットワークで攻撃を受け、署名リプレイ問題により11,000ドル超の損失を被りました。開発者は、少なくとも3種類の署名改ざん可能性について認識しておく必要があります。

ECDSAの特性上、(r, s, v)が有効であれば、(r, secp256k1n-s, 55-v)も有効です。Ethereumのecrecoverは両方を許可しています。これに対処するため、OpenZeppelinの署名ライブラリはsをsecp256k1n/2+1未満に制限しています。(OpenZeppelin Contracts

vの値に関しては、0と27は同じ意味を持ち、1と28も同様で、27はコーディング標準です。一部のライブラリは、検証前に0と1を27および28に変換しますが、OpenZeppelinは現在27と28のみをサポートしています。

OpenZeppelinは以前、2種類のバイト署名をサポートしていました。1つはsの後にvが別のバイトとして続き、もう1つはsの高位にvが含まれるものです。(Malleable Signatures

  • TonUP

TONチェーン上のプロジェクトTonUPは、ステーキングコントラクトがハッキングされたと発表し、ユーザー補償のために307,264トークンを買い戻すための資金配分を計画しています。新しいエコシステムは新しい機会をもたらしますが、ハッキングの脅威も伴います。

🫡 5月の主要な攻撃の攻撃トランザクション、根本原因、PoCはすべて、レビューのためにセキュリティインシデントリストに記録されています。

フィッシング

  • Pink Drainer

Pink Drainerは、十分な額を稼いだと主張し、引退する意向を発表して閉鎖を宣言しました。しかし、シーンからの撤退は彼らが予想するほど簡単ではないかもしれません。

  • ホエールのアドレスポイゾニング攻撃

5月3日、ホエールがアドレスポイゾニング攻撃を受け、約7,000万ドル相当の1,155 WBTCを失いました。幸いにも、コミュニティの粘り強い努力により、攻撃者は資金を返還しました。フィッシング攻撃はソーシャルエンジニアリングを伴い、最も熟練したDeFi専門家さえも標的にすることができます。警戒を怠らないでください!

法的措置

5月15日、米国司法省は、イーサリアムブロックチェーンを攻撃し、2,500万ドルの暗号資産を盗んだとして、2人の兄弟を逮捕したと発表しました。これらの攻撃者は、Flashbot Relayの脆弱性を悪用してMEVボットを攻撃しました。これは非常に洗練された攻撃であり、詳細な分析はこちらでご覧いただけます。

司法省のプレスリリースはこちら:こちら

ブログ記事

https://blocksec.com/blog/how-phishing-websites-bypass-wallet-security-alerts-strategies-unveiled

Phalcon Virtual Experience Journey

😎 ハッカーとの生死をかけた戦いに備えよう!

https://blocksec.com/blog/phalcon-virtual-experience-join-our-free-hack-defense-game-and-block-real-attacks-with-phalcon

Phalcon Virtual Experience Journey」に無料でご参加ください。

ハッカーと戦い、実際のオンチェーン攻撃に直面し、自動化された攻撃ブロックプラットフォームPhalconを使用して数百万ドル相当の資産を救いましょう!あなたはヒーローになる準備ができていますか?

MetaSuitesがSolanaをサポート!

MetaSuites 5.0メジャーアップグレードでは、Solanaのサポートが追加され、クロスサイトローカルラベルが追加され、DeBank、Arkham、Merlin Scanが強化されました。詳細についてはこちらをクリックしてください。

🎉🎉🎉

この度、大切なお取引先であるDeFiHackLabsが、GCCより35,000USDTの助成金を授与されたことを、大変喜んでご報告させていただきます。この資金は、Web3セキュリティ分野での絶え間ない努力を支援し、より多くの才能を育成するための初期運営資金として活用されます。

DeFiHackLabsのこの当然の評価に祝福を申し上げるとともに、今後も共に画期的な功績を重ねていくことを願っております!👏

Sign up for the latest updates
DeFi and Stablecoin Security: A discussion with Dr. Andy Zhou, CEO of BlocSec

DeFi and Stablecoin Security: A discussion with Dr. Andy Zhou, CEO of BlocSec

Hear BlockSec CEO Dr. Andy Zhou on Chaintech discuss leadership, Web3, finance, and the future of fintech.

In-Depth Analysis: The Balancer V2 Exploit

In-Depth Analysis: The Balancer V2 Exploit

On November 3, 2025, Balancer V2 and several forked projects were exploited, causing over $125 million in losses. This blog offers an in-depth technical analysis of the incident.

Phalcon Security: The Proactive Defense Ending Zero-Day Web3 Attacks

Phalcon Security: The Proactive Defense Ending Zero-Day Web3 Attacks

Discover how Phalcon Security spots and stops attacks in the mempool automatically. This shifts Web3 defense from reacting to being proactive.