Back to Blog

月次セキュリティレビュー:2024年5月

June 1, 2024

セキュリティ概況 👀

DeFiエクスプロイト

  • Gala Game

5月20日、Galaの管理者秘密鍵が盗まれ、攻撃者は50億GALAトークンをミントし、ブロックチェーン上で2,100万ドル相当のトークンと交換しました。その後、Galaからの公式報告によると、この侵害はサードパーティの契約業者が関与したもので、内部手順は是正され、不正ユーザーは排除されました。内部調査により攻撃者の身元が確認され、盗まれた資産は全額返還されました。

公式レポート:Gala News

プロジェクトチームにとって、特権操作のための必要な監視システムを確立することは極めて重要です。秘密鍵の不十分な管理は、内部および外部からの攻撃による管理者権限や秘密鍵へのアクセスといった深刻なリスクを招きます。この事例では、Phalconを導入していれば損失を回避できた可能性があります。

  • Sonne Finance インシデント

5月14日、Optimism上のSonne Financeがエクスプロイトされ、2,000万ドル以上の損失が発生しました。根本原因はCompound V2における精度の損失でした。Sonneチームはこの問題に気づき、市場展開時に流動性を追加して問題を回避する計画でしたが、攻撃者は欠陥を悪用しました。タイムロック内の複数のスケジュールされたトランザクションが誰でも実行可能な状態になっており、攻撃者は流動性を追加せずに市場展開を実行し、エクスプロイトを完了しました。

SonneがPhalconを使用していれば、攻撃をより早く検知し、損失を2,000万ドルではなく300万ドルに抑えることができたでしょう。詳細はこちら

  • TCH

5月17日、TSCがBSCネットワーク上で攻撃され、署名リプレイ問題により11,000ドル以上の損失を被りました。開発者は、少なくとも3種類の署名偽造可能性について認識しておく必要があります。

ECDSAの特性上、(r, s, v)が有効であれば、(r, secp256k1n-s, 55-v)も有効であり、Ethereumのecrecoverは両方を許可します。これに対処するため、OpenZeppelinの署名ライブラリはsをsecp256k1n/2+1未満に制限しています。(OpenZeppelin Contracts

vの値に関しては、0と27は同じ意味を持ち、1と28も同様であり、27はコーディング標準です。一部のライブラリは検証前に0と1を27と28に変換しますが、OpenZeppelinは現在27と28のみをサポートしています。

OpenZeppelinは以前、2種類のバイト署名をサポートしていました。1つはsの後にvが別のバイトとして続くもの、もう1つはsの高位にvが含まれるものです。(Malleable Signatures

  • TonUP

TONチェーン上のプロジェクトTonUPは、ステーキングコントラクトがハッキングされたことを発表し、ユーザー補償のために307,264トークンを買い戻すための資金配分を計画しています。新しいエコシステムは新たな機会をもたらしますが、ハッキングの脅威も伴います。

🫡 5月の主要な攻撃の攻撃トランザクション、根本原因、PoCはすべて、セキュリティインシデントリストに記録されており、レビューのために公開されています。

フィッシング

  • Pink Drainer

Pink Drainerは、十分な利益を得たとして活動を終了し、引退する意向を発表しました。しかし、シーンから去ることは、彼らが予想するほど簡単ではないかもしれません。

  • クジラのウォレットアドレス汚染攻撃

5月3日、クジラがアドレス汚染攻撃を受け、約7,000万ドル相当の1,155 WBTCを失いました。幸いなことに、コミュニティの粘り強い努力により、攻撃者は資金を返還しました。フィッシング攻撃はソーシャルエンジニアリングを伴い、最も経験豊富なDeFi専門家さえも標的とすることができます。警戒を怠らないでください!

法的措置

5月15日、米国司法省は、イーサリアムブロックチェーンを攻撃し、2,500万ドルの暗号通貨を盗んだとして、2人の兄弟を逮捕したと発表しました。これらの攻撃者はFlashbot Relayの脆弱性を悪用してMEVボットを攻撃しました。これは非常に高度な攻撃であり、詳細な分析はこちらでご覧いただけます。こちら

DOJのプレスリリースはこちらでご覧いただけます。こちら

ブログ記事

https://blocksec.com/blog/how-phishing-websites-bypass-wallet-security-alerts-strategies-unveiled

Phalconバーチャル体験ジャーニー

😎 命懸けのハッカーとの戦いに備えよう!

https://blocksec.com/blog/phalcon-virtual-experience-join-our-free-hack-defense-game-and-block-real-attacks-with-phalcon

Phalconバーチャル体験ジャーニー」に無料でご参加ください。

ハッカーと戦い、実際のオンチェーン攻撃に直面し、当社の自動攻撃ブロックプラットフォームPhalconを使用して数百万ドルの資産を救いましょう!あなたはヒーローになる準備ができていますか?

MetaSuitesがSolanaをサポート!

MetaSuites 5.0メジャーアップデートでは、Solanaのサポートが追加され、クロスサイトローカルラベルが追加され、DeBank、Arkham、Merlin Scanが強化されました。詳細はこちらをクリックしてください。こちら

🎉🎉🎉

この度、私達の尊敬するパートナーであるDeFiHackLabsが、GCCから35,000 USDTの助成金を授与されたことを、心よりお祝い申し上げます。この資金は、Web3セキュリティ分野における彼らの絶え間ない努力を支援し、より多くの才能を育成するための初期運営資金として活用されます。

DeFiHackLabsのこの当然の評価と、今後のさらなる画期的な成果に向けて、共に乾杯しましょう!👏

Sign up for the latest updates
Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 23 and March 29, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.53M. Incidents include a $679K flawed burn mechanism exploit on the BCE token, a $512K spot-price manipulation attack on Cyrus Finance's PancakeSwap V3 liquidity withdrawal, a $133.5K flash-loan-driven referral reward manipulation on a TUR staking contract, and multiple integer overflow, reentrancy, and accounting error vulnerabilities in DeFi protocols. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Newsletter - March 2026
Security Insights

Newsletter - March 2026

In March 2026, the DeFi ecosystem experienced three major security incidents. Resolv Protocol lost ~$80M due to compromised privileged infrastructure keys, BitcoinReserveOffering suffered ~$2.7M from a double-minting logic flaw, and Venus Protocol incurred ~$2.15M following a donation attack combined with market manipulation.