Back to Blog

月次セキュリティレビュー:2024年6月

July 1, 2024
5 min read

セキュリティ概要 👀

DeFiセクター

  • UwU Lend ハッキング

6月10日と13日、UwU Lendは2300万ドルを超える損失をもたらす攻撃を受けました。

最初の攻撃の根本原因は、脆弱な価格依存性でした。レンディングプールはCurveからの5つの現在価格(AMM)、Curveオラクル(EMA)の5つの価格、およびUniswap(TWAP)の1つの価格を含む11のソースから価格を取得し、最終的に中央値を取りました。現在価格は単一のトランザクション内で操作される可能性があるため、攻撃者はフラッシュローンを使用して5つの現在価格を劇的に変更し、取得された価格がオラクル価格の最小値または最大値になるようにしました。これにより、約2000万ドルの損失が発生しました。

6月13日、UwU Lendチームはプロトコルを再起動し、再び攻撃を受けました。攻撃者はuSUSDeとWETHを担保として追加し、LTVに基づいてWETHを借入しました。uSUSDeはLTVには参加しませんでしたが、流動性引き出し中のヘルスファクター計算には参加したため、攻撃者はより多くのWETHを引き出し、利益を得ることができました。

注目すべきことに、ホワイトハッカーのmakemake_kboは、1年前に脆弱性を報告し、プロジェクトチームに連絡しましたが返答がなく、最終的にTwitterで警告を発したとツイートしています。

  • Velocore ハッキング

根本原因:effectiveFee1e9のチェック不足が、velocore__execute関数のアンダーフローを引き起こしました。プロジェクトの事後分析レポートはこちらからお読みください。こちら

攻撃後、Lineaは1時間ブロック生成を停止しました。L2プロジェクトにとって、チェーン全体を一時停止するよりも、緊急対応メカニズムを持つ方が効果的です。世界初の仮想通貨ハッキング監視・ブロックプラットフォームについてはこちらをご覧ください。

  • Holograph ハッキング

Holographは、元請負業者がプロトコルを悪用して追加のHLGを鋳造したと発表しました。

過去の多くの攻撃は、プロジェクトが利便性のために秘密鍵管理を犠牲にしていることを示しています。これにより、内部および外部の攻撃によって管理者権限や秘密鍵が侵害されるという深刻なリスクにさらされます。Phalconを使用した外部監視により、ワンクリックで運用監視が可能になり、早期発見と損失の最小化が実現します。

その他

  • DMM Exchange ハッキング

6月初旬、DMM Exchangeは、5月31日(UTC)に4,502.9 BTC(3億ドル超)が盗まれたセキュリティインシデントを公表しました。

DMMからの詳細がないため、原因は不明のままです。しかし、ハッカーのアドレスとDMMの通常のアドレスは、最初の5文字と最後の2文字が同じであり、盗まれたBTCはマルチシグアドレスからでした。オフチェーン攻撃が転送アドレスを置き換え、担当者がトランザクションに署名するように騙したという推測があります。MetaSleuthを使用して資金を追跡してください。こちら

  • Kraken

6月19日、Krakenの最高セキュリティ責任者であるNick Percocoは、Xで、バグバウンティプログラムを通じてセキュリティ企業から「極めて重大な」脆弱性の報告を受けたことを明らかにしました。報告によると、アカウント残高を人為的に増加させることができる脆弱性が見つかったとのことです。しかし、Krakenが脆弱性を修正した後、セキュリティ企業との交渉中に300万ドルが関与する不審な行動を発見しました。 Nick Percocoの投稿:投稿を見る

CertiKは後にXで責任を主張し、詳細を公表してその行動を説明しました。同社は、Krakenで数日間にわたるテストを実施し、すでに資金を返却したことを強調しました。このインシデントはコミュニティ内で激しい議論を巻き起こしました。CertiKの投稿:投稿を見る 根本原因についてはこちら、サンプルトランザクションについてはこちらをご覧ください。

  • CoinStats

CoinStatsは、200万ドルの損失をもたらす攻撃を受けました。CEOは、侵害は従業員に対するソーシャルエンジニアリング攻撃によるもので、AWSインフラストラクチャが侵害されたと述べています。詳細はこちらをクリックしてください。こちら

ブログ記事

BlockSecは、「Solana Simplified」シリーズをキュレーションしました。このシリーズには、Solanaの基本概念、Solanaスマートコントラクトの書き方チュートリアル、Solanaトランザクション分析ガイドなどが含まれています。目標は、読者がSolanaエコシステムを理解し、Solanaでのプロジェクト開発とトランザクション実行に必要なスキルを習得することです。

01: 1回の読書でSolanaコアコンセ přístをマスター

https://blocksec.com/blog/solana-simplified-master-solana-core-concepts-in-one-read

02: 初めてのSolanaスマートコントラクトをゼロから書く

https://blocksec.com/blog/solana-simplified-02-writing-your-first-solana-smart-contract-from-scratch

03: 5分でSolanaトランザクションを理解する

https://blocksec.com/blog/solana-simplifed-03-understand-solana-transactions-in-5-minutes

BlockSec X Solana Summit

6月20日から22日まで、BlockSecは2024 Solana Summit APAC in KLで誇りを持って発表しました。今後、さらに多くのグローバルイベントでお会いできることを楽しみにしています。

Phalcon ExplorerがSolanaに完全対応!

Phalcon Explorerは、ユーザーと開発者のエクスペリエンスを向上させる新機能を紹介します。これには以下が含まれます。

🚀 アカウント関係とトークン変更の明確化 🚀 MEVトランザクションタグ付けと3億以上の В адреса метки 🚀 展開可能なレベルを持つ、正確で明確な関数呼び出し階層

Phalcon Explorerはこちらから体験できます。こちら

詳細はこちらをクリックしてください。こちら

Sign up for the latest updates
~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly
Security Insights

~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly

This BlockSec bi-weekly security report covers 11 notable attack incidents identified between April 27 and May 10, 2026, across Sui, Ethereum, BNB Chain, Base, Blast, and Berachain, with total estimated losses of approximately $15.9M. Three incidents are analyzed in detail: the highlighted $1.14M Aftermath Finance exploit on Sui, where a signed/unsigned semantic mismatch in the builder-fee validation allowed an attacker to inject a negative fee that was converted into positive collateral during settlement; the $5.87M Trusted Volumes RFQ authorization mismatch on Ethereum; and the $5.7M Wasabi Protocol infrastructure-to-contract-control compromise across multiple EVM chains.

Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.