セキュリティの概要 👀
2024年4月、DeFiの脆弱性悪用に関連するセキュリティインシデントにより、総額約500万ドルの損失が発生しました。「検証されていないユーザー入力」と「アクセス制御の問題」がほとんどのセキュリティインシデントの原因であり、Hedgey FinanceとSaitaChainが注目すべきインシデントに関与しました。
開発者へのアドバイス:特に柔軟なcalldataを持つプロトコルについて、重要な関数のアクセス制御とユーザー入力の内容を慎重に確認してください。過去の関連インシデントを確認するにはここをクリック。
-
Hedgey Financeインシデント
4月19日、Ethereum上の@hedgeyfinanceが不正利用され、180万ドル以上の損失が発生しました。根本原因は検証されていないユーザー入力です。プロジェクトチームとセキュリティ会社は4000万ドルの損失を主張しましたが、トークンの流動性の欠如により、攻撃者の実際の利益は限られていたことに注意することが重要です。最終的に、攻撃者は数百ドルしか現金化できなかった可能性があるため、これらの統計を信頼しません。根本原因を表示するにはここをクリック。
-
SaitaChainインシデント
4月24日、SaitaChainのXbridgeが攻撃され、アクセス制御の問題により約100万ドルの損失が発生しました。攻撃者はトークンをわずか0.15Etherでリスト化することで、すべてのトークンを転送することができました。攻撃を直ちに検出し、プロジェクトチームに通知しました。
-
不明なコントラクト (0x80a0)
4月15日、BSC上の不明なコントラクト (0x80a0) が攻撃され、約60万ドルの損失が発生しました。根本原因は検証されていないユーザー入力でした。アラートを確認する。
-
Pike Financeインシデント
4月26日、Pike FinanceはEthereum、Arbitrum、Optimismチェーンで約30万ドルの損失を被りました。根本原因は検証されていないユーザー入力で、USDCを詐取するための偽造CCTPメッセージによって引き起こされました。インシデントを直ちに検出しましたが、コントラクトがオープンソースではなかったため、攻撃トランザクションを開示する前にプロジェクトチームが確認し、対応するのを待つ必要がありました。
-
米国初のスマートコントラクト不正利用事件
米国初のスマートコントラクト不正利用事件において、被告は1200万ドルを超える資産の横領で有罪となり、3年の懲役と犯罪収益の没収を宣告されました。
不正利用にはCremaFinanceとNIRVANA FINANCEが関与しました。CremaFinanceだけで880万ドル以上が横領されました。交渉の結果、CremaFinanceはホワイトハット報奨金として150万ドル(45,455 SOL)を支払うことに同意しました。MetaSleuthを使用して実施したCremaFinanceインシデントの資金フロー分析はこちらです。
MetaSleuthにおけるCremaFinanceインシデントの資金フロー分析 👉 様々なセキュリティインシデントの攻撃トランザクション、根本原因、PoCについてさらに学ぶには、セキュリティインシデントリストをご覧ください。
ブログ記事
-
EigenLayerとRestakingのセキュリティの観点からの考察
このブログでは、EigenLayerの基本的な考え方を示し、Restakingエコシステムにおける新しいセキュリティ脅威を説明します。
-
2分で100万ドル稼ぐ方法:MetaSleuthを使用してSolana上の「スマート」マネーを追跡する
このブログでは、Solana上のミームトークン$TIMで数百万ドルを稼いだプロジェクトインサイダーとして批判された「スマート」マネーを追跡するためにMetaSleuthを使用する方法を示します。
-
このブログでは、多額の損失を引き起こすフィッシング詐欺「Inferno Drainer」を暴露し、そのような詐欺を避けるために慎重に取引することをユーザーに推奨しています。
-
このブログでは、新しいタイプのWeb3フィッシングを示し、フィッシングを避けるための提案を行います。
-
このブログでは、Web3ユーザーを標的とするDrainer関連のハッキングインシデントの概要を提供し、ハッカーによって使用される方法を強調し、ユーザーのこれらの戦術に対する意識と保護を高めることを目指しています。
製品アップデート
-
🥳 Phalconの大規模アップグレード!
プロトコルとLPは、特に複雑なデータ構造に関わるネストされた構造体、マッピング、配列を含む主要な変数を監視できるようになりました。ユーザーはコーディングなしで10秒で変数を選択し、監視式を設定できます。続きを読む
このアップグレードにより、開発者、セキュリティ研究者、LPはトランザクションとプロトコルの状態をより良く理解し、監視できるようになり、セキュリティ上の脅威や設定エラーを迅速に特定してプロトコルの安定性を維持し、資金を保護できます。
-
🥳 Phalcon ExplorerのUIを改善しました!
フルスクリーンモード(Shift+Fショートカット)をサポートし、開発者やセキュリティ研究者がより没入感を持って分析に集中できるようになりました。ぜひお試しください!
Full-screen support of BlockSec Phalcon Explorer @Phalcon_xyz https://t.co/w4YFhCxpjT pic.twitter.com/vshmXAW3m8
— BlockSec (@BlockSecTeam) April 12, 2024
パートナーシップ
-
Merlin ✖️ BlockSec
BlockSec Phalconは、トップのBTC L2であるMerlinに完全対応しました!🎉 ETH、BSC、Arbitrumに続き、MerlinはPhalconがサポートする4番目のチェーンです!
🛡️ **BlockSec Phalcon**は、Merlin Chain上のオンチェーンアクティビティを24時間365日積極的に監視し、Merlin Chainにタイムリーなアラートを提供しています。今後は、Merlin Chainのプロトコルチームや投資家もPhalconを購読して、暗号ハック監視およびブロック機能を利用できます。
🚀 **Phalcon Explorer**もMerlinをサポートしています!トランザクショントレース、残高変更、資金フローを簡単に探索できます。Merlin Blockchain Explorer上のソースコードのない主要なコントラクトについては、検証済みのコントラクトへのアクセスを提供します。
-
Forta ✖️ BlockSec
Honored to be part of the @FortaNetwork ecosystem! Let's work together to make Web3 safer! 🙌 https://t.co/e87inYgJKN
— BlockSec (@BlockSecTeam) April 25, 2024
BlockSecについて
BlockSecは、2021年に世界的に著名なセキュリティ専門家チームによって設立された、先駆的なブロックチェーンセキュリティ企業です。当社は、Web3の普及を促進するために、新しいWeb3の世界のセキュリティと使いやすさを向上させることに尽力しています。この目的のため、BlockSecはスマートコントラクトとEVMチェーンのセキュリティ監査サービス、セキュリティ開発およびプロアクティブな脅威ブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、およびWeb3ビルダーが暗号世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。
これまでに、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなどの300を超える著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalを含む一流投資家から2回の資金調達で数千万米ドルを受け取っています。
公式ウェブサイト:https://blocksec.com/
公式Twitterアカウント:https://twitter.com/BlockSecTeam
