月次セキュリティレビュー：2024年3月

セキュリティの概要 👀

2024年3月、DeFiのエクスプロイトにより、約8,100万ドルの損失が発生しました。幸いなことに、関係者各位の尽力により、大半の資金は回収されたか、交渉が進められています。

• PrismaFiエクスプロイト事件

**3月28日、Ethereum上のPrismaFiが攻撃を受け、約1,100万ドルの損失が発生しました。根本原因は未検証ユーザー入力でした。注目すべきは、攻撃が10件以上のトランザクションで実行され、2件の模倣犯がいたことです。プロジェクトチームは、最初の攻撃から90分以上経過した後、マルチシグを通じてコントラクトを一時停止することに成功しました。この攻撃中にPhalcon**を使用してシングルシグネチャ緊急一時停止を実装していれば、損失を大幅に軽減できた可能性があります。

主要な攻撃者は資金の返還に前向きな姿勢を示しており、プロジェクトチームとの交渉は現在も進行中です。交渉チャットをご覧ください。

• Munchables事件

**3月27日、Blast L2上のMunchablesから6,200万ドル相当の資産が流出しました。**この事件は、開発者によって実装された悪意のあるアップグレード（コントラクトはオープンソース化されていなかった）が原因でした。幸いなことに、プロジェクトチームとBlast L2コアチームが対応し、開発者は資金を返還しました。現在、すべての資金はBlast L2コアチームが管理するSafe{wallet}に保管されています。

カストディ声明; タイムライン; 事件の詳細についてはこちらをクリックしてください。

• ParaSwapエクスプロイト事件

**3月19日から3月21日にかけて、ParaSwapの複数のユーザーが攻撃を受け、総損失額は少なくとも30万ドルに達しました。**根本原因はアクセス制御の問題でした。主要な攻撃者が資産の90％を返還したことに言及する価値があります。

• Unizenエクスプロイト事件

**3月8日、EthereumおよびPolygon上のUnizenがエクスプロイトを受け、280万ドルの損失が発生しました。**根本原因は未検証ユーザー入力の問題でした。DeFiユーザーは、承認を定期的に確認し、注意を怠らないでください！

さらに、ホワイトハッカーがbloXrouteのSemi-Private RPCを介してPolygonで救済トランザクションを送信しましたが、その救済トランザクションはメンプールに送信され、MEVボットにフロントランされたため、論争を巻き起こしました。この件についてさらに読む。

• TGBSトークンエクスプロイト事件

**3月6日、BSC上のTGBSトークンがエクスプロイトを受け、15万ドルの損失が発生しました。**興味深いことに、オーナーが行った変更がわずか1時間後に攻撃を引き起こしたため、別のラグプルである可能性があります。アラートを確認する

• WooFiエクスプロイト事件

**3月5日、Arbitrum上のWooFiがエクスプロイトを受け、875万ドルの損失が発生しました。**根本原因は脆弱な価格依存性でした。WooFiのレンディング市場は、$Woo\text{の価格が極端に安く操作されたため、エクスプロイトされ、エクスプロイターがフラッシュローンを通じて大量の}Wooの価格が極端に安く操作されたため、エクスプロイトされ、エクスプロイターがフラッシュローンを通じて大量の$Wooを借り入れ、簡単に返済できるようになりました。

価格メカニズムは価格チェックのためにChainlinkのオラクルを使用していたにもかかわらず、Arbitrum上のChainlinkは$Wooの価格を提供せず、攻撃を防ぐことができませんでした。ポストモーテムレポートを読む

👉 上記のインシデントの攻撃トランザクション、根本原因、およびPoCは、セキュリティインシデントリストで表示できます。

ブログ記事 & 動画

• L2ブロックチェーンはユーザー保護をどのように改善できるか

L2チェーンが、トッププロトコルのセキュリティを強化し、チェーン上のユーザー資産を保護するために、いくつかの対策をどのように実装できるか。

• BlockSecはプロトコルのライフサイクル全体にわたるセキュリティを保護します

BlockSecで、プロトコルのライフサイクル全体を保護しましょう。ローンチ前のセキュリティ監査から、ローンチ後の攻撃監視・ブロック（Phalcon）まで、すべてカバーしています。

• BlockSecとセキュリティの最前線

BlockSec CEOのYajin Zhouが、Open Information House @ ETHDenver 2024で「BlockSecとセキュリティの最前線」と題された重要なスピーチを行います。

ブロックチェーンセキュリティについての考え方を変える、魅力的で洞察に満ちた議論の機会をお見逃しなく。

パートナーシップ

Blockscoutブロックチェーンエクスプローラーは、MetaSuitesのアドレスラベル（Ethereum、Polygon、Gnosis、Optimism、およびBase）とGPT搭載トランザクション説明（Ethereum）機能を統合し、さらにPhalcon Explorerへのクイックアクセスも追加しました。🎉🎉

新サイト、新章

エキサイティングなお知らせです。ウェブサイトを全面リニューアルしました！

BlockSecは、ローンチ前段階からローンチ後段階まで、プロトコルの安全性をあらゆる段階で確保し、お客様をサポートします！こちらをクリックしてご覧ください。

• 監査レポートをご覧ください。
• 最先端のリサーチをご覧ください。