月次セキュリティレビュー：2024年4月

セキュリティの概要 👀

2024年4月、DeFi脆弱性悪用に関連するセキュリティインシデントにより、合計約500万ドルの損失が発生しました。「未検証のユーザー入力」と「アクセス制御の問題」がほとんどのセキュリティインシデントの原因であり、Hedgey FinanceとSaitaChainが注目すべきインシデントに関与しました。

開発者へのアドバイス：特に柔軟なcalldataを持つプロトコルについては、重要な関数のアクセス制御とユーザー入力の内容を慎重に確認してください。過去の関連インシデントを確認するにはこちらをクリックしてください。

• Hedgey Financeインシデント

4月19日、Ethereum上の@hedgeyfinanceが攻撃され、180万ドル以上の損失が発生しました。根本原因は未検証のユーザー入力です。プロジェクトチームとセキュリティ会社が4,000万ドルの損失を主張した一方で、トークンの流動性の不足により攻撃者の実際の利益は限られていたことに注意することが重要です。最終的に、攻撃者はわずか数百ドルしか換金できなかった可能性があるため、これらの統計は信頼できません。根本原因を表示するにはこちらをクリックしてください。

• SaitaChainインシデント

4月24日、SaitaChainのXbridgeが攻撃され、アクセス制御の問題により約100万ドルの損失が発生しました。攻撃者はトークンをわずか0.15 Etherでリスト化することで、すべてのトークンを転送することができました。私たちは直ちに攻撃を検出し、プロジェクトチームに通知しました。

• 不明なコントラクト (0x80a0)

4月15日、BSC上の不明なコントラクト (0x80a0)が攻撃され、約60万ドルの損失が発生しました。根本原因は未検証のユーザー入力でした。アラートを確認する。

• Pike Financeインシデント

4月26日、Pike FinanceはEthereum、Arbitrum、Optimismチェーンで約30万ドルの損失を被りました。根本原因は、USDCを不正に引き出すための偽造されたCCTPメッセージによる未検証のユーザー入力でした。私たちは直ちにインシデントを検出しましたが、コントラクトがオープンソースではなかったため、攻撃トランザクションを開示する前にプロジェクトチームが確認して対応するのを待つ必要がありました。

• 米国初のスマートコントラクト悪用事件

米国初のスマートコントラクト悪用事件において、被告は1,200万ドルを超える資産の横領で有罪となり、3年の懲役と収益の没収が言い渡されました。

この悪用にはCremaFinanceとNIRVANA FINANCEが関与しました。CremaFinance aloneから880万ドル以上が横領されました。交渉の後、CremaFinanceはホワイトハットバウンティとして150万ドル（45,455 SOL）を支払うことに同意しました。ここで、MetaSleuthを使用して実施したCremaFinanceインシデントの資金フロー分析を示します。

👉 様々なセキュリティインシデントの攻撃トランザクション、根本原因、PoCについてさらに詳しく知りたい場合は、セキュリティインシデントリストをご覧ください。

ブログ記事

• EigenLayerとRestakingをセキュリティの観点から検討する

このブログでは、EigenLayerの基本的な考え方を紹介し、Restakingエコシステムにおける新たなセキュリティ脅威を説明します。

• 2分で100万ドル稼ぐ方法：MetaSleuthを使用してSolana上の「スマート」マネーを追跡する

このブログでは、Solana上のミームトークン$TIM\text{を対象とした「スマート」マネーの追跡に}MetaSleuth\text{を使用する方法を示します。このトークンは、プロジェクト関係者が}TIMを対象とした「スマート」マネーの追跡にMetaSleuthを使用する方法を示します。このトークンは、プロジェクト関係者が$TIMトークンを購入して数百万ドルを稼いだと批判されました。

• Inferno Drainerにおける利益分配の理解

このブログでは、多額の損失を引き起こす「Inferno Drainer」フィッシング詐欺を暴露し、このような詐欺を避けるために慎重に取引することをユーザーに推奨します。

• Web3フィッシング詐欺における「ROP」の解明

このブログでは、新しいタイプのWeb3フィッシングを紹介し、フィッシング被害に遭わないための提案を行います。

• Drainerが関与するハッキングインシデントの解明

このブログでは、Web3ユーザーを標的としたDrainer関連のハッキングインシデントの概要を提供し、ハッカーが使用する手法を強調し、ユーザーのこれらの戦術に対する認識と保護を高めることを目的としています。

• Web3フィッシングの被害に遭わない方法

• 仮想通貨資産が盗まれた場合、どうすればよいですか？

製品アップデート

• 🥳 Phalconの大規模アップグレード！

プロトコルおよびLPは、特に複雑なデータ構造を含むネストされた構造体、マッピング、配列などの主要な変数を監視できるようになりました。ユーザーはコーディングなしで10秒で変数を選択し、監視式を構成できます。続きを読む

このアップグレードにより、開発者、セキュリティ研究者、LPはトランザクションとプロトコルの状態をより良く理解および監視し、セキュリティ上の脅威や設定エラーを迅速に特定して、プロトコルの安定性と資金の安全性を維持できるようになります。

• 🥳 Phalcon ExplorerのUIを改善しました！

フルスクリーンモード（Shift+Fショートカット）をサポートし、開発者やセキュリティ研究者はより没入感を持って分析に集中できるようになりました。ぜひお試しください！

パートナーシップ

• Merlin ✖️ BlockSec

BlockSec Phalconは、トップのBTC L2であるMerlinに完全対応しました！🎉 ETH、BSC、Arbitrumに次いで、MerlinはPhalconがサポートする4番目のチェーンです！

🛡️ BlockSec Phalconは、Merlin Chain上のオンチェーンアクティビティを24時間365日積極的に監視し、Merlin Chainにタイムリーなアラートを提供しています。今後は、Merlin Chain上のプロトコルチームや投資家もPhalconを購読することで、仮想通貨ハック監視およびブロック機能を利用できるようになります。

🚀 Phalcon ExplorerもMerlinをサポートしています！トランザクショントレース、残高変更、資金フローを簡単に探索できます。Merlin Blockchain Explorer上のソースコードのない一部の主要コントラクトについては、検証済みコントラクトへのアクセスを提供します。

• Forta ✖️ BlockSec

BlockSecについて

BlockSecは、2021年に世界的に著名なセキュリティ専門家グループによって設立された、先駆的なブロックチェーンセキュリティ企業です。同社は、Web3の世界のセキュリティと使いやすさを向上させ、その大量採用を促進することにコミットしています。この目的のため、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発とプロアクティブな脅威ブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、およびWeb3ビルダーが仮想通貨の世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。

現在までに、同社はMetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300以上の著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalなどの有力な投資家から2回の資金調達で数千万米ドルを受け取っています。

公式ウェブサイト：https://blocksec.com/

公式Twitterアカウント：https://twitter.com/BlockSecTeam