Back to Blog

月次セキュリティレビュー:2024年3月

April 1, 2024
4 min read

セキュリティの概要 👀

2024年3月、DeFiのエクスプロイトにより約8,100万ドルの損失が発生しました。幸いなことに、関係者全員の尽力により、大部分の資金が回収されたか、現在交渉中です。

  • PrismaFiエクスプロイト事件

**3月28日、Ethereum上のPrismaFiが攻撃され、約1,100万ドルの損失が発生しました。根本原因は検証されていないユーザー入力でした。注目すべきは、攻撃は10件以上のトランザクションで実行され、2件の模倣犯がいたことです。プロジェクトチームは、最初の攻撃から90分以上経過した後、マルチシグを介してコントラクトを一時停止することに成功しました。この攻撃中にPhalcon**を使用してシングルシグネチャ緊急一時停止を実装していれば、損失を大幅に減らすことができたでしょう。

主要な攻撃者は資金を返却する意向を示しており、プロジェクトチームとの交渉は現在も継続中です。交渉チャットを確認してください。

  • Munchables事件

**3月27日、Blast L2上のMunchablesの資産が6,200万ドル流出しました。**この事件は、開発者によって実装された悪意のあるアップグレード(コントラクトはオープンソース化されていなかった)が原因でした。幸いにも、プロジェクトチームとBlast L2コアチームが行動を起こし、開発者は資金を返却しました。現在、すべての資金はBlast L2コアチームが管理するSafe{wallet}に保管されています。

資産管理声明; タイムライン; 事件について詳しくはこちらをクリックしてください。

  • ParaSwapエクスプロイト事件

**3月19日から3月21日にかけて、ParaSwapの複数のユーザーが攻撃され、総損失額は少なくとも30万ドルでした。**根本原因はアクセス制御の問題でした。主要な攻撃者が資産の90%を返却したことは言及に値します。

  • Unizenエクスプロイト事件

**3月8日、EthereumおよびPolygon上のUnizenがエクスプロイトされ、280万ドルの損失が発生しました。**根本原因は検証されていないユーザー入力の問題でした。DeFiユーザーは承認を定期的に確認し、警戒を怠らないようにしてください!

さらに、ホワイトハットがbloXrouteのSemi-Private RPCを介してPolygon上で救済トランザクションを送信しましたが、その救済トランザクションはメモリプールに送信され、MEVボットによってフロントランされたため、論争を巻き起こしました。これについて詳しく読む

  • TGBSトークンエクスプロイト事件

**3月6日、BSC上のTGBSトークンがエクスプロイトされ、15万ドルの損失が発生しました。**興味深いことに、オーナーが行った変更がわずか1時間後に攻撃を引き起こしたため、別のラグプルである可能性があります。アラートを確認する

  • WooFiエクスプロイト事件

**3月5日、Arbitrum上のWooFiがエクスプロイトされ、875万ドルの損失が発生しました。**根本原因は脆弱な価格依存性の問題でした。WooFiのレンディング市場は、Wooの価格が極端に安くなるように操作されたため、エクスプロイターがフラッシュローンを介して大量のWooの価格が極端に安くなるように操作されたため、エクスプロイターがフラッシュローンを介して大量のWooを借り入れ、簡単に返済できるようになりました。

価格メカニズムは価格チェックにChainlinkのオラクルを利用していましたが、Arbitrum上のChainlinkは$Wooの価格を提供せず、攻撃を防ぐことができませんでした。ポストモーテムレポートを読む

👉 上記のインシデントの攻撃トランザクション、根本原因、およびPoCは、セキュリティインシデントリストで確認できます。

ブログ記事&動画

L2チェーンが、トッププロトコルのセキュリティを強化し、チェーン上のユーザー資産を保護するために、いくつかの対策をどのように実装できるか。

BlockSecで、プロトコルのライフサイクル全体を保護しましょう。ローンチ前のセキュリティ監査からローンチ後の攻撃監視・ブロック(Phalcon)まで、すべてお任せください。

BlockSec CEOのYajin Zhouが、Open Information House @ ETHDenver 2024で「BlockSecとセキュリティの最前線」と題した重要なスピーチを行います。

ブロックチェーンセキュリティについての考え方を変える、魅力的で洞察に満ちた議論の機会をお見逃しなく。

パートナーシップ

Blockscoutブロックチェーンエクスプローラーは、MetaSuitesアドレスラベルEthereumPolygonGnosisOptimism、およびBase)およびGPT搭載トランザクション説明Ethereum)機能を統合し、さらにPhalcon Explorerへのクイックアクセスも追加しました。🎉🎉

新サイト、新章

エキサイティングなニュースです – ウェブサイトを全面リニューアルしました!

BlockSecは、ローンチ前段階からローンチ後段階まで、プロトコルのセキュリティをあらゆる段階で確保します!こちらをクリックして探索してください。

Sign up for the latest updates
〜1800万ドルの損失:jaredFromSubway、Aztecなど|BlockSecウィークリー
Security Insights

〜1800万ドルの損失:jaredFromSubway、Aztecなど|BlockSecウィークリー

ブロックチェーンセキュリティ週次レポート(2026年6月15日〜21日):EthereumとBNB Chainで3件の重大インシデントが発生し、総損失約1830万ドル。注目のjaredFromSubway事件では、MEVボットが裁定取引のために自身の資産を未検証の第三者コントラクトに承認するという逆承認攻撃が判明。攻撃者は実イベントを発行しながら承認を消費しない偽トークンとプールを構築し、損失は約1500万ドル。またAztecでは3日間で2度目の攻撃が発生、エスケープハッチZK回路でold_data_rootの等価制約欠如を悪用し、偽マークルツリーに対するノート所有権の証明が可能となった。

Web3コンパニオン:オープンソースのセキュアなエージェント型ウォレット

Web3コンパニオン:オープンソースのセキュアなエージェント型ウォレット

BlockSecがWeb3 Companionをオープンソース化。セキュリティ優先のエージェント型ウォレットで、自社AIエージェントを非信頼として扱い、キー分離・厳格なポリシー・Passkeyでオンチェーン資産を保護する。

〜598万ドルの損失:Aztec、Raydiumなど|BlockSec週次レポート
Security Insights

〜598万ドルの損失:Aztec、Raydiumなど|BlockSec週次レポート

週次ブロックチェーンセキュリティレポート(2026年6月8日〜15日)では、EthereumとSolanaで4件の重大インシデントを分析し、総損失は約598万ドル。Aztec Connectでは入力検証の欠如によりロールアップの証明経路とL1決済が不整合に。RaydiumではレガシーAMM v3の検証不備でLPトークン償還計算が操作され4プールが流出。両脆弱性は悪用前から数年間存在。入力検証不備、整数オーバーフロー、ガバナンス乗っ取りも検証。