Back to Blog

月例セキュリティレビュー:2024年4月

May 1, 2024
5 min read

セキュリティの概要 👀

2024年4月、DeFiの脆弱性悪用に関連するセキュリティインシデントにより、総額約500万ドルの損失が発生しました。「検証されていないユーザー入力」と「アクセス制御の問題」がほとんどのセキュリティインシデントの原因であり、Hedgey FinanceとSaitaChainが注目すべきインシデントに関与しました。

開発者へのアドバイス:特に柔軟なcalldataを持つプロトコルについて、重要な関数のアクセス制御とユーザー入力の内容を慎重に確認してください。過去の関連インシデントを確認するにはここをクリック。

  • Hedgey Financeインシデント

    4月19日、Ethereum上の@hedgeyfinanceが不正利用され、180万ドル以上の損失が発生しました。根本原因は検証されていないユーザー入力です。プロジェクトチームとセキュリティ会社は4000万ドルの損失を主張しましたが、トークンの流動性の欠如により、攻撃者の実際の利益は限られていたことに注意することが重要です。最終的に、攻撃者は数百ドルしか現金化できなかった可能性があるため、これらの統計を信頼しません。根本原因を表示するにはここをクリック。

  • SaitaChainインシデント

    4月24日、SaitaChainのXbridgeが攻撃され、アクセス制御の問題により約100万ドルの損失が発生しました。攻撃者はトークンをわずか0.15Etherでリスト化することで、すべてのトークンを転送することができました。攻撃を直ちに検出し、プロジェクトチームに通知しました。

  • 不明なコントラクト (0x80a0)

    4月15日、BSC上の不明なコントラクト (0x80a0) が攻撃され、約60万ドルの損失が発生しました。根本原因は検証されていないユーザー入力でした。アラートを確認する。

  • Pike Financeインシデント

    4月26日、Pike FinanceはEthereum、Arbitrum、Optimismチェーンで約30万ドルの損失を被りました。根本原因は検証されていないユーザー入力で、USDCを詐取するための偽造CCTPメッセージによって引き起こされました。インシデントを直ちに検出しましたが、コントラクトがオープンソースではなかったため、攻撃トランザクションを開示する前にプロジェクトチームが確認し、対応するのを待つ必要がありました。

  • 米国初のスマートコントラクト不正利用事件

    米国初のスマートコントラクト不正利用事件において、被告は1200万ドルを超える資産の横領で有罪となり、3年の懲役と犯罪収益の没収を宣告されました。

    不正利用にはCremaFinanceとNIRVANA FINANCEが関与しました。CremaFinanceだけで880万ドル以上が横領されました。交渉の結果、CremaFinanceはホワイトハット報奨金として150万ドル(45,455 SOL)を支払うことに同意しました。MetaSleuthを使用して実施したCremaFinanceインシデントの資金フロー分析はこちらです。

    MetaSleuthにおけるCremaFinanceインシデントの資金フロー分析
    MetaSleuthにおけるCremaFinanceインシデントの資金フロー分析

    👉 様々なセキュリティインシデントの攻撃トランザクション、根本原因、PoCについてさらに学ぶには、セキュリティインシデントリストをご覧ください。

ブログ記事

製品アップデート

  • 🥳 Phalconの大規模アップグレード!

    プロトコルとLPは、特に複雑なデータ構造に関わるネストされた構造体、マッピング、配列を含む主要な変数を監視できるようになりました。ユーザーはコーディングなしで10秒で変数を選択し、監視式を設定できます。続きを読む

    このアップグレードにより、開発者、セキュリティ研究者、LPはトランザクションとプロトコルの状態をより良く理解し、監視できるようになり、セキュリティ上の脅威や設定エラーを迅速に特定してプロトコルの安定性を維持し、資金を保護できます。

  • 🥳 Phalcon ExplorerのUIを改善しました!

    フルスクリーンモード(Shift+Fショートカット)をサポートし、開発者やセキュリティ研究者がより没入感を持って分析に集中できるようになりました。ぜひお試しください!

パートナーシップ

  • Merlin ✖️ BlockSec

    BlockSec Phalconは、トップのBTC L2であるMerlinに完全対応しました!🎉 ETH、BSC、Arbitrumに続き、MerlinはPhalconがサポートする4番目のチェーンです!

    🛡️ **BlockSec Phalcon**は、Merlin Chain上のオンチェーンアクティビティを24時間365日積極的に監視し、Merlin Chainにタイムリーなアラートを提供しています。今後は、Merlin Chainのプロトコルチームや投資家もPhalconを購読して、暗号ハック監視およびブロック機能を利用できます。

    🚀 **Phalcon Explorer**もMerlinをサポートしています!トランザクショントレース、残高変更、資金フローを簡単に探索できます。Merlin Blockchain Explorer上のソースコードのない主要なコントラクトについては、検証済みのコントラクトへのアクセスを提供します。

  • Forta ✖️ BlockSec

BlockSecについて

BlockSecは、2021年に世界的に著名なセキュリティ専門家チームによって設立された、先駆的なブロックチェーンセキュリティ企業です。当社は、Web3の普及を促進するために、新しいWeb3の世界のセキュリティと使いやすさを向上させることに尽力しています。この目的のため、BlockSecはスマートコントラクトとEVMチェーンのセキュリティ監査サービス、セキュリティ開発およびプロアクティブな脅威ブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、およびWeb3ビルダーが暗号世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。

これまでに、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなどの300を超える著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalを含む一流投資家から2回の資金調達で数千万米ドルを受け取っています。

公式ウェブサイト:https://blocksec.com/

公式Twitterアカウント:https://twitter.com/BlockSecTeam

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.