月次セキュリティレビュー：2024年2月

セキュリティの概要 👀

2024年2月、DeFiの悪用により約800万ドルの損失が発生しました。多数の悪意のある提案が検出されており、DAOにとって注意喚起となっています。さらに、Tornado Cashのフロントエンドで見つかったバックドアにより、悪意のあるアクターが3200イーサ以上を盗むことができました。

DeFiの悪用

• Seneca 悪用インシデント

2月29日、EthereumおよびArbitrum上のSenecaが、600万ドルの損失につながる悪用に遭いました。根本原因は任意呼び出しの問題でした。DeFiユーザーは定期的に承認を確認し、警戒を怠らないでください！これについての詳細はこちら。

• Blueberry 悪用インシデント

2月23日、Ethereum上のBlueberryが、140万ドルの損失につながる悪用に遭いました。根本原因はトークン価格正規化のための不整合なロジックの使用であり、価格ソースとその正規化方法との間に不一致がありました。coffeebabe_ethのMEVボットは悪用を首尾よくフロントランし、367イーサを返還しました。これについての詳細はこちら。

• DeezNutz_404 悪用インシデント

2月22日、Ethereum上のDeezNutz_404が悪用に遭い、総損失額は約17万ドルと見積もられています。根本原因は自己転送による計算問題でした。ERC404トークンシリーズは、同様の悪用に複数回見舞われています。投資の際はご注意ください。これについての詳細はこちら。

• Particle Trade 悪用インシデント

2月15日、Ethereum上のParticle Tradeが悪用に遭い、約14万ドルの損失が発生しました。根本原因は未検証のユーザー入力でした。これについての詳細はこちら。

• CheckDot Protocol 悪意のある提案インシデント

2月1日、悪意のあるアクターがCheckdot Protocolに悪意のある提案を提出し、潜在的な損失額は12万ドルでした。Checkdotチームに通知した後、彼らは脅威の重大性をクリティカルと認め、修正を実装しました。

🚨 2月には複数の悪意のある提案（nounsbr, LeagueDAO, wearecultdaoなど）を検出しており、DAOの皆様に提案攻撃のリスクにご注意いただくよう改めてお願いいたします。

👉 上記インシデントの攻撃トランザクション、根本原因、PoCは、弊社のセキュリティインシデントリストでご覧いただけます。

バックドア

• Tornado Cash フロントエンドバックドアインシデント

悪意のある開発者がTornado Cashのフロントエンドにバックドアを仕込み、預金者の認証情報を盗み、少なくとも3200イーサを預金から盗みました。Tornado Cashが制裁を受けた後、プロジェクトはコミュニティガバナンスに移行しました。それ以来、プロジェクトは複数の提案攻撃にさらされています。

ブログ記事

2023年の「驚くべき」セキュリティインシデントトップ10

"歴史から学ぶべきことは、歴史から学ばないということである。"

この記事では、2023年に言及に値するトップ10のセキュリティインシデントとその理由を概説します。

各セキュリティインシデントについて、根本原因と攻撃手順も、以下の別々のブログ記事で提示します。

• #1: Flashbotsリレーの脆弱性を悪用したMEVボットの収奪

• #2: Euler Financeインシデント：2023年最大のハック

• #3: KyberSwapインシデント：極めて巧妙な計算による丸め誤差の巧みな悪用

• #4: Curveインシデント：コンパイラエラーが正規のソースコードから不正なバイトコードを生成

• #5: Platypus Finance：幸運なことに3回の攻撃を生き延びる

• #6: Hundred Financeインシデント：脆弱なフォークされたプロトコルにおける精度関連の悪用の波を触媒

• #7: ParaSpaceインシデント：業界で最も重大な攻撃を阻止するための時間との戦い

• #8: SushiSwapインシデント：拙速な救出の試みが一連の模倣攻撃につながる

• #9: MEVボット 0xd61492：巧妙な悪用による捕食者から獲物へ

• #10: ThirdWebインシデント：信頼されたモジュール間の非互換性が脆弱性を露呈

Puffer Protocolのアクセス制御メカニズムを解明

#PufferProtocolがどのように資金を安全に保っているか興味がありますか？BlockSecによるアクセス制御アーキテクチャの深掘りをご覧ください！9億ドル以上の資産を管理する役割、スマートコントラクト、戦略を理解しましょう。知識は力です！

ブログ：L2ブロックチェーンのセキュリティに関するBlockSecの見解とソリューション

この記事では、まずL2ブロックチェーンのセキュリティ上の課題を体系的にレビューし、次に弊社のソリューションを提案します。

ポッドキャスト：BlockSecがWeb3の1500万ドルの悪用をリアルタイムで阻止した方法

弊社のCEOであるAndy Zhouが、Scraping BitsポッドキャストのホストDeGatchi氏と共に、Web3での攻撃をどのように阻止するかについて語りました。この記事はポッドキャストの内容のトランスクリプトです。

エキサイティングなパートナーシップ

Puffer Finance（TVL 4億6100万ドルのトップリステーキングプロトコルの一つ）との協力により、キャンペーンの包括的な監査を発表できることを嬉しく思います。

さらに、セキュリティ対策を強化するため、Phalcon（弊社の攻撃監視・ブロックプラットフォーム）をPufferのプロトコルに統合しています。

イベント

3月1日から9日まで、BlockSecチームは米国を訪問します。

コラボレーション、チャット、ブロックチェーンに関するあらゆることについて、お気軽にご連絡ください。ミーティングのご希望はDMにて！

📍最初の目的地：#ETHDenver, 3月1日から3月2日

📍2番目の目的地：シリコンバレー、3月3日から3月9日

製品アップデート

2月には、Phalcon 3.0ウェビナーを開催し、ユーザーからPhalconに関する貴重なフィードバックを収集しました。

3月には、プロトコル、LP/トレーダー、L1/L2チェーン、取引所向けにカスタマイズされた、ハックを自動検出・ブロックする次世代SaaSプラットフォームであるPhalcon 3.0をローンチ予定です。

Web3セキュリティ革命に備えましょう！🚀

情報通で、安全でいましょう！また次回！👋