月次セキュリティレビュー：2024年5月

セキュリティの概要 👀

DeFiエクスプロイト

• Gala Game

5月20日、Galaの管理者秘密鍵が盗まれ、攻撃者は50億GALAトークンをミントし、ブロックチェーン上で2,100万ドル相当のトークンと交換しました。その後、Galaからの公式報告によると、この侵害はサードパーティの契約業者によって行われ、現在、不正ユーザーの削除を含め、内部手順が修正されたと示されています。内部調査を経て、攻撃者の身元が確認され、盗まれた資産は全額返還されました。

公式レポート: Gala News

プロジェクトチームにとって、特権操作のための必要な監視システムを確立することは極めて重要です。秘密鍵の不十分な管理は、内部および外部の攻撃による管理者権限の取得や秘密鍵へのアクセスといった深刻なリスクをもたらします。Phalconを導入することで、損失を回避できた可能性があります。

• Sonne Financeインシデント

5月14日、Optimism上のSonne Financeがエクスプロイトされ、2,000万ドル以上の損失が発生しました。根本原因はCompound V2における精度損失でした。Sonneチームはこの問題を認識しており、市場展開中に流動性を追加して問題を回避する計画でしたが、攻撃者は脆弱性を悪用しました。タイムロック内の複数のスケジュールされたトランザクションは誰でも実行できる状態であり、攻撃者は流動性を追加せずに市場展開を実行し、エクスプロイトを完了しました。

SonneがPhalconを使用していた場合、攻撃をより早く検知し、損失を2,000万ドルではなく300万ドルに抑えられたでしょう。詳細はこちら

• TCH

5月17日、TSCはBSCネットワーク上で攻撃を受け、署名リプレイ問題により11,000ドル以上の損失を被りました。開発者は、少なくとも3種類の署名修正可能性について認識しておく必要があります。

ECDSAの特性により、(r, s, v)が有効であれば、(r, secp256k1n-s, 55-v)も有効であり、Ethereumのecrecoverは両方を許可します。これを解決するため、OpenZeppelinの署名ライブラリはsをsecp256k1n/2+1未満に制限しています。（OpenZeppelin Contracts）

vの値に関しては、0と27は同じ意味を持ち、1と28も同様であり、27はコーディング標準です。一部のライブラリは検証前に0と1を27と28に変換しますが、OpenZeppelinは現在27と28のみをサポートしています。

OpenZeppelinは以前、2種類のバイト署名をサポートしていました。1つはvがsの後に続く個別のバイトであるもの、もう1つはvが高位のsにあるものです。（Malleable Signatures）

• TonUP

TONチェーン上のプロジェクトTonUPは、ステーキングコントラクトがハッキングされたことを発表し、ユーザーを補償するために307,264トークンを買い戻すための資金を割り当てる計画です。新しいエコシステムは新しい機会をもたらしますが、ハッキングの脅威も伴います。

🫡 5月の大規模な攻撃の攻撃トランザクション、根本原因、およびPoCはすべて、セキュリティインシデントリストに記録されており、レビューできます。

フィッシング

• Pink Drainer

Pink Drainerは、十分な金額を稼いだと主張し、引退する計画を発表して閉鎖を宣言しました。しかし、シーンからの撤退は彼らが予想するほど簡単ではないかもしれません。

• クジラのウォレットアドレスポイズニング攻撃

5月3日、クジラがアドレスポイズニング攻撃を受け、約7,000万ドル相当の1,155 WBTCを失いました。幸いにも、コミュニティの粘り強い努力の後、攻撃者は資金を返還しました。フィッシング攻撃はソーシャルエンジニアリングを伴い、最も熟練したDeFi専門家でさえ標的になり得ます。注意を怠らないでください！

法的措置

5月15日、米国司法省は、イーサリアムブロックチェーンを攻撃し、2,500万ドルの暗号通貨を盗んだとして、2人の兄弟の逮捕を発表しました。これらの攻撃者は、Flashbot Relayの脆弱性を悪用してMEVボットを攻撃しました。これは非常に洗練された攻撃であり、詳細な分析はこちらでご覧いただけます。

司法省のプレスリリースはこちらでご覧いただけます。

ブログ記事

https://blocksec.com/blog/how-phishing-websites-bypass-wallet-security-alerts-strategies-unveiled

Phalconバーチャル体験ジャーニー

😎 命懸けのハッカーとの戦いの準備はできていますか？

https://blocksec.com/blog/phalcon-virtual-experience-join-our-free-hack-defense-game-and-block-real-attacks-with-phalcon

「Phalconバーチャル体験ジャーニー」に無料でご参加ください。

ハッカーと戦い、実際のオンチェーン攻撃に直面し、自動化された攻撃ブロックプラットフォームPhalconを使用して数百万ドル相当の資産を救いましょう！あなたはヒーローになる準備ができていますか？

MetaSuitesがSolanaをサポート！

MetaSuites 5.0メジャーアップグレードは、Solanaのサポート、クロスサイトローカルラベルの追加、DeBank、Arkham、Merlin Scanの強化を発表しました。詳細についてはこちらをクリックしてください。

🎉🎉🎉

私たちの尊敬するパートナーであるDeFiHackLabsが、GCCから35,000 USDTの助成金を授与されたことを共有できることを嬉しく思います。この資金は、Web3セキュリティ分野での継続的な取り組みを支援し、より多くの人材を育成するための初期運転資金として活用されます。

DeFiHackLabsのこの当然の評価に祝意を表し、今後とも共に画期的な業績を達成できることを願っています！👏