月次セキュリティレビュー：2024年3月

セキュリティをひと目で👀

2024年3月、DeFiのエクスプロイトにより約8100万ドルの損失が発生しました。幸いにも、関係者全員の努力により、大部分の資金は回収されたか、交渉が進められています。

• PrismaFi エクスプロイト事件

3月28日、Ethereum上のPrismaFiが攻撃を受け、約1100万ドルの損失が発生しました。 原因は検証されていないユーザー入力でした。注目すべきは、攻撃が10件以上のトランザクションで行われ、2件のコピーキャット攻撃者がいたことです。プロジェクトチームは、最初の攻撃から90分以上経過した後、マルチシグによりコントラクトを一時停止させることに成功しました。この攻撃中に**Phalcon**を使用してシングルシグネチャによる緊急一時停止を実装していれば、損失を大幅に軽減できた可能性があります。

主要な攻撃者は資金を返還する意思を示しており、プロジェクトチームとの交渉は継続中です。詳細については交渉チャットをご覧ください。

• Munchables 事件

3月27日、Blast L2上のMunchablesで6200万ドルの資産が流出しました。 この事件は、開発者による悪意のあるアップグレード（コントラクトはオープンソース化されていなかった）が原因でした。幸いにも、プロジェクトチームとBlast L2コアチームが対応し、開発者は資金を返還しました。現在、すべての資金はBlast L2コアチームが管理するSafe{wallet}に保管されています。

保管声明；タイムライン；事件についてさらに詳しく知りたい場合はこちらをクリックしてください。

• ParaSwap エクスプロイト事件

3月19日から21日にかけて、ParaSwapの複数のユーザーが攻撃を受け、総損失額は少なくとも30万ドルに達しました。 原因はアクセス制御の問題でした。特筆すべきは、主要な攻撃者が資産の90％を返還したことです。

• Unizen エクスプロイト事件

3月8日、EthereumおよびPolygon上のUnizenがエクスプロイトを受け、280万ドルの損失が発生しました。 原因は検証されていないユーザー入力の問題でした。DeFiユーザーは、定期的に承認を確認し、警戒を怠らないようにしましょう！

さらに、ホワイトハットがbloXrouteのSemi-Private RPCを介してPolygonで救済トランザクションを送信しましたが、そのトランザクションはメモリプールに送られ、MEVボットにフロントランされたため、論争を呼びました。この件についてさらに読むことができます。

• TGBS Token エクスプロイト事件

3月6日、BSC上のTGBS Tokenがエクスプロイトを受け、15万ドルの損失が発生しました。 興味深いことに、オーナーがわずか1時間前に行った変更が攻撃を引き起こしたため、別のラグプルである可能性があります。アラートを確認する

• WooFi エクスプロイト事件

3月5日、Arbitrum上のWooFiがエクスプロイトを受け、875万ドルの損失が発生しました。 原因は脆弱な価格依存性でした。WooFiのレンディング市場は、$Woo\text{の価格が極端に安くなるように操作されたため、エクスプロイターがフラッシュローンを通じて大量の}Wooの価格が極端に安くなるように操作されたため、エクスプロイターがフラッシュローンを通じて大量の$Wooを借り入れ、容易に返済できたために悪用されました。

価格メカニズムは価格チェックにChainlinkのオラクルを利用していましたが、Arbitrum上のChainlinkは$Wooの価格を提供せず、攻撃を防ぐことができませんでした。ポストモーテムレポートを読む

👉 上記のインシデントの攻撃トランザクション、根本原因、PoCは、セキュリティインシデントリストで確認できます。

ブログ記事＆動画

• L2ブロックチェーンはユーザー保護のために何ができるか

L2チェーンが、トッププロトコルのセキュリティを強化し、チェーン上のユーザー資産を保護するために実施できるいくつかの対策。

• BlockSecはプロトコルのライフサイクル全体にわたるセキュリティを保護します

BlockSecで、プロトコルのライフサイクル全体を保護しましょう。ローンチ前のセキュリティ監査から、ローンチ後の攻撃監視・ブロック（Phalcon）まで、すべてお任せください。

• BlockSecとセキュリティの最前線

BlockSec CEOのYajin Zhouが、Open Information House @ ETHDenver 2024で「BlockSecとセキュリティの最前線」と題された重要なスピーチを行います。

ブロックチェーンセキュリティに対する考え方を変える、魅力的で示唆に富む議論の機会をお見逃しなく。

パートナーシップ

Blockscoutブロックチェーンエクスプローラーは、MetaSuitesのアドレスラベル（Ethereum、Polygon、Gnosis、Optimism、Base）およびGPTによるトランザクション説明（Ethereum）機能を統合し、さらにPhalcon Explorerへのクイックアクセスも追加しました。🎉🎉

新サイト、新章

エキサイティングなお知らせです。ウェブサイトが全面的にリニューアルされました！

BlockSecは、プロトコルのローンチ前段階からローンチ後段階まで、あらゆる段階で安全性を確保し、お客様をサポートします！こちらをクリックして探索してください。

• 監査レポートをご覧ください
• 最先端のリサーチをご覧ください