月次セキュリティレビュー:2024年5月

月次セキュリティレビュー:2024年5月

セキュリティ概況 👀

DeFiエクスプロイト

  • Gala Game

5月20日、Galaの管理者秘密鍵が盗まれ、攻撃者は50億GALAトークンをミントし、ブロックチェーン上で2,100万ドル相当のトークンと交換しました。その後、Galaからの公式報告によると、この侵害はサードパーティの契約業者が関与したもので、内部手順は是正され、不正ユーザーは排除されました。内部調査により攻撃者の身元が確認され、盗まれた資産は全額返還されました。

公式レポート:Gala News

プロジェクトチームにとって、特権操作のための必要な監視システムを確立することは極めて重要です。秘密鍵の不十分な管理は、内部および外部からの攻撃による管理者権限や秘密鍵へのアクセスといった深刻なリスクを招きます。この事例では、Phalconを導入していれば損失を回避できた可能性があります。

  • Sonne Finance インシデント

5月14日、Optimism上のSonne Financeがエクスプロイトされ、2,000万ドル以上の損失が発生しました。根本原因はCompound V2における精度の損失でした。Sonneチームはこの問題に気づき、市場展開時に流動性を追加して問題を回避する計画でしたが、攻撃者は欠陥を悪用しました。タイムロック内の複数のスケジュールされたトランザクションが誰でも実行可能な状態になっており、攻撃者は流動性を追加せずに市場展開を実行し、エクスプロイトを完了しました。

SonneがPhalconを使用していれば、攻撃をより早く検知し、損失を2,000万ドルではなく300万ドルに抑えることができたでしょう。詳細はこちら

  • TCH

5月17日、TSCがBSCネットワーク上で攻撃され、署名リプレイ問題により11,000ドル以上の損失を被りました。開発者は、少なくとも3種類の署名偽造可能性について認識しておく必要があります。

ECDSAの特性上、(r, s, v)が有効であれば、(r, secp256k1n-s, 55-v)も有効であり、Ethereumのecrecoverは両方を許可します。これに対処するため、OpenZeppelinの署名ライブラリはsをsecp256k1n/2+1未満に制限しています。(OpenZeppelin Contracts

vの値に関しては、0と27は同じ意味を持ち、1と28も同様であり、27はコーディング標準です。一部のライブラリは検証前に0と1を27と28に変換しますが、OpenZeppelinは現在27と28のみをサポートしています。

OpenZeppelinは以前、2種類のバイト署名をサポートしていました。1つはsの後にvが別のバイトとして続くもの、もう1つはsの高位にvが含まれるものです。(Malleable Signatures

  • TonUP

TONチェーン上のプロジェクトTonUPは、ステーキングコントラクトがハッキングされたことを発表し、ユーザー補償のために307,264トークンを買い戻すための資金配分を計画しています。新しいエコシステムは新たな機会をもたらしますが、ハッキングの脅威も伴います。

🫡 5月の主要な攻撃の攻撃トランザクション、根本原因、PoCはすべて、セキュリティインシデントリストに記録されており、レビューのために公開されています。

フィッシング

  • Pink Drainer

Pink Drainerは、十分な利益を得たとして活動を終了し、引退する意向を発表しました。しかし、シーンから去ることは、彼らが予想するほど簡単ではないかもしれません。

  • クジラのウォレットアドレス汚染攻撃

5月3日、クジラがアドレス汚染攻撃を受け、約7,000万ドル相当の1,155 WBTCを失いました。幸いなことに、コミュニティの粘り強い努力により、攻撃者は資金を返還しました。フィッシング攻撃はソーシャルエンジニアリングを伴い、最も経験豊富なDeFi専門家さえも標的とすることができます。警戒を怠らないでください!

法的措置

5月15日、米国司法省は、イーサリアムブロックチェーンを攻撃し、2,500万ドルの暗号通貨を盗んだとして、2人の兄弟を逮捕したと発表しました。これらの攻撃者はFlashbot Relayの脆弱性を悪用してMEVボットを攻撃しました。これは非常に高度な攻撃であり、詳細な分析はこちらでご覧いただけます。こちら

DOJのプレスリリースはこちらでご覧いただけます。こちら

ブログ記事

https://blocksec.com/blog/how-phishing-websites-bypass-wallet-security-alerts-strategies-unveiled

Phalconバーチャル体験ジャーニー

😎 命懸けのハッカーとの戦いに備えよう!

https://blocksec.com/blog/phalcon-virtual-experience-join-our-free-hack-defense-game-and-block-real-attacks-with-phalcon

Phalconバーチャル体験ジャーニー」に無料でご参加ください。

ハッカーと戦い、実際のオンチェーン攻撃に直面し、当社の自動攻撃ブロックプラットフォームPhalconを使用して数百万ドルの資産を救いましょう!あなたはヒーローになる準備ができていますか?

MetaSuitesがSolanaをサポート!

MetaSuites 5.0メジャーアップデートでは、Solanaのサポートが追加され、クロスサイトローカルラベルが追加され、DeBank、Arkham、Merlin Scanが強化されました。詳細はこちらをクリックしてください。こちら

🎉🎉🎉

この度、私達の尊敬するパートナーであるDeFiHackLabsが、GCCから35,000 USDTの助成金を授与されたことを、心よりお祝い申し上げます。この資金は、Web3セキュリティ分野における彼らの絶え間ない努力を支援し、より多くの才能を育成するための初期運営資金として活用されます。

DeFiHackLabsのこの当然の評価と、今後のさらなる画期的な成果に向けて、共に乾杯しましょう!👏

Sign up for the latest updates
Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

During the week of February 9 to February 15, 2026, three blockchain security incidents were reported with total losses of ~$657K. All incidents occurred on the BNB Smart Chain and involved flawed business logic in DeFi token contracts. The primary causes included an unchecked balance withdrawal from an intermediary contract that allowed donation-based inflation of a liquidity addition targeted by a sandwich attack, a post-swap deflationary clawback that returned sold tokens to the caller while draining pool reserves to create a repeatable price-manipulation primitive, and a token transfer override that burned tokens directly from a Uniswap V2 pair's balance and force-synced reserves within the same transaction to artificially inflate the token price.

Top 10 "Awesome" Security Incidents in 2025

Top 10 "Awesome" Security Incidents in 2025

To help the community learn from what happened, BlockSec selected ten incidents that stood out most this year. These cases were chosen not only for the scale of loss, but also for the distinct techniques involved, the unexpected twists in execution, and the new or underexplored attack surfaces they revealed.

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

On August 29, 2025, Panoptic disclosed a Cantina bounty finding and confirmed that, with support from Cantina and Seal911, it executed a rescue operation on August 25 to secure roughly $400K in funds. The issue stemmed from a flaw in Panoptic’s position fingerprint calculation algorithm, which could have enabled incorrect position identification and downstream fund risk.