Back to Blog

月次セキュリティレビュー:2024年6月

July 1, 2024

セキュリティ概要 👀

DeFiセクター

  • UwU Lend ハッキング

6月10日および13日、UwU Lendは2300万ドルを超える損失を招く攻撃を受けました。

最初の攻撃の根本原因は、価格への依存性の脆弱性でした。レンディングプールは11のソースから価格を取得しており、その中にはCurveからの5つの現在の(AMM)価格、5つのCurveオラクル(EMA)価格、およびUniswap(TWAP)価格1つが含まれており、最終的に中央値が採用されていました。現在の価格は単一のトランザクション内で操作される可能性があるため、攻撃者はフラッシュローンを使用して5つの現在の価格を劇的に変更し、取得された価格がオラクル価格の最小値または最大値となるようにしました。これにより、約2000万ドルの損失が発生しました。

6月13日、UwU Lendチームはプロトコルを再起動しましたが、再び攻撃を受けました。攻撃者はuSUSDeとWETHを担保として追加し、その後LTVに基づいてWETHを借入しました。uSUSDeはLTVには参加しませんでしたが、流動性引き出し時のヘルスファクター計算には参加したため、攻撃者はより多くのWETHを引き出して利益を得ることができました。

注目すべきは、ホワイトハッカーのmakemake_kboが、1年前に脆弱性を報告し、プロジェクトチームに連絡したが応答がなく、最終的にTwitterで警告を発したとツイートしたことです。

  • Velocore ハッキング

根本原因:effectiveFee1e9のチェック不足が、velocore__execute関数におけるアンダーフローを引き起こしました。プロジェクトのポストモーテムレポートはこちらからお読みください。

攻撃後、Lineaはブロック生成を1時間停止しました。L2プロジェクトにとって、チェーン全体を一時停止するよりも、緊急対応メカニズムを持つ方が効果的です。👉 世界初の暗号資産ハッキング監視・ブロックプラットフォームについてはこちらで学んでください。

  • Holograph ハッキング

Holographは、元請負業者がプロトコルを悪用して追加のHLGを鋳造したと発表しました。

過去の多くの攻撃が示しているように、プロジェクトは利便性のために秘密鍵管理を妥協することがよくあります。これにより、内部および外部からの攻撃による管理者権限や秘密鍵の侵害という深刻なリスクにさらされます。Phalconを使用して外部監視を行うことで、ワンクリックで運用監視が可能になり、早期検知と損失の最小化が実現します。

その他

  • DMM Exchange ハッキング

6月初旬、DMM Exchangeは5月31日(UTC)に4,502.9 BTC(3億ドル以上)が盗まれたセキュリティインシデントを公表しました。

DMMからの詳細情報がないため、原因は不明のままです。しかし、ハッカーのアドレスとDMMの通常のアドレスは最初の5文字と最後の2文字が一致しており、盗まれたBTCはマルチシグアドレスからのものでした。オフチェーン攻撃により転送アドレスが置き換えられ、担当者がトランザクションに署名するように欺かれたという憶測が流れています。MetaSleuthを使用して資金を追跡するにはこちらをご覧ください。

  • Kraken

6月19日、Krakenの最高セキュリティ責任者であるNick PercocoはXで、バグバウンティプログラムを通じてセキュリティ企業から「極めて重大な」脆弱性に関する報告を受けたことを明らかにしました。報告では、アカウント残高を人為的に増やすことができる脆弱性が見つかったと主張されていました。しかし、Krakenが脆弱性を修正した後、セキュリティ企業との交渉中に300万ドルが関与する不審な行動を発見しました。 Nick Percocoの投稿:投稿を表示

CertiKは後にXで、この件について責任を主張し、詳細を公表し、その行動を説明しました。同社はKrakenに対して数日間のテストを実施し、すでに資金を返還したと強調しました。このインシデントはコミュニティ内で激しい議論を巻き起こしました。CertiKの投稿:投稿を表示 根本原因についてはこちら、サンプルトランザクションについてはこちらで確認できます。

  • CoinStats

CoinStatsは、200万ドルの損失を招く攻撃を受けました。CEOは、侵害は従業員へのソーシャルエンジニアリング攻撃が原因で、それによりAWSインフラストラクチャが侵害されたと述べました。詳細についてはこちらをクリックしてください。

ブログ記事

BlockSecは、「Solana Simplified」シリーズをキュレーションしました。このシリーズには、Solanaの基本概念、Solanaスマートコントラクトの書き方チュートリアル、Solanaトランザクション分析ガイドが含まれています。読者がSolanaエコシステムを理解し、Solanaでのプロジェクト開発やトランザクション実行に必要なスキルを習得することを目的としています。

01: Solanaのコアコンセプトを一度の読書でマスター

https://blocksec.com/blog/solana-simplified-master-solana-core-concepts-in-one-read

02: 最初のSolanaスマートコントラクトをゼロから書く

https://blocksec.com/blog/solana-simplified-02-writing-your-first-solana-smart-contract-from-scratch

03: 5分でSolanaトランザクションを理解する

https://blocksec.com/blog/solana-simplifed-03-understand-solana-transactions-in-5-minutes

BlockSec X Solana Summit

6月20日から22日まで、BlockSecはKLで開催された2024 Solana Summit APACに喜んで参加しました。将来、さらに多くのグローバルイベントでお会いできるのを楽しみにしています!

Phalcon ExplorerがSolanaに完全対応!

Phalcon Explorerは、ユーザーと開発者のエクスペリエンスを向上させる新機能を提供します。これには以下が含まれます。

🚀 アカウント関係とトークン変更を明確化 🚀 MEVトランザクションタグ付けと3億以上のアドレスラベル 🚀 展開可能なレベルを持つ正確で明確な関数呼び出し階層

Phalcon Explorerをこちらで体験してください。

詳細についてはこちらをクリックしてください。

Sign up for the latest updates
Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 23 and March 29, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.53M. Incidents include a $679K flawed burn mechanism exploit on the BCE token, a $512K spot-price manipulation attack on Cyrus Finance's PancakeSwap V3 liquidity withdrawal, a $133.5K flash-loan-driven referral reward manipulation on a TUR staking contract, and multiple integer overflow, reentrancy, and accounting error vulnerabilities in DeFi protocols. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Newsletter - March 2026
Security Insights

Newsletter - March 2026

In March 2026, the DeFi ecosystem experienced three major security incidents. Resolv Protocol lost ~$80M due to compromised privileged infrastructure keys, BitcoinReserveOffering suffered ~$2.7M from a double-minting logic flaw, and Venus Protocol incurred ~$2.15M following a donation attack combined with market manipulation.