Back to Blog

月次セキュリティレビュー:2024年3月

April 1, 2024

セキュリティをひと目で👀

2024年3月、DeFiのエクスプロイトにより約8100万ドルの損失が発生しました。幸いにも、関係者全員の努力により、大部分の資金は回収されたか、交渉が進められています。

  • PrismaFi エクスプロイト事件

3月28日、Ethereum上のPrismaFiが攻撃を受け、約1100万ドルの損失が発生しました。 原因は検証されていないユーザー入力でした。注目すべきは、攻撃が10件以上のトランザクションで行われ、2件のコピーキャット攻撃者がいたことです。プロジェクトチームは、最初の攻撃から90分以上経過した後、マルチシグによりコントラクトを一時停止させることに成功しました。この攻撃中に**Phalcon**を使用してシングルシグネチャによる緊急一時停止を実装していれば、損失を大幅に軽減できた可能性があります。

主要な攻撃者は資金を返還する意思を示しており、プロジェクトチームとの交渉は継続中です。詳細については交渉チャットをご覧ください。

  • Munchables 事件

3月27日、Blast L2上のMunchablesで6200万ドルの資産が流出しました。 この事件は、開発者による悪意のあるアップグレード(コントラクトはオープンソース化されていなかった)が原因でした。幸いにも、プロジェクトチームとBlast L2コアチームが対応し、開発者は資金を返還しました。現在、すべての資金はBlast L2コアチームが管理するSafe{wallet}に保管されています。

保管声明タイムライン;事件についてさらに詳しく知りたい場合はこちらをクリックしてください。

  • ParaSwap エクスプロイト事件

3月19日から21日にかけて、ParaSwapの複数のユーザーが攻撃を受け、総損失額は少なくとも30万ドルに達しました。 原因はアクセス制御の問題でした。特筆すべきは、主要な攻撃者が資産の90%を返還したことです。

  • Unizen エクスプロイト事件

3月8日、EthereumおよびPolygon上のUnizenがエクスプロイトを受け、280万ドルの損失が発生しました。 原因は検証されていないユーザー入力の問題でした。DeFiユーザーは、定期的に承認を確認し、警戒を怠らないようにしましょう!

さらに、ホワイトハットがbloXrouteのSemi-Private RPCを介してPolygonで救済トランザクションを送信しましたが、そのトランザクションはメモリプールに送られ、MEVボットにフロントランされたため、論争を呼びました。この件についてさらに読むことができます。

  • TGBS Token エクスプロイト事件

3月6日、BSC上のTGBS Tokenがエクスプロイトを受け、15万ドルの損失が発生しました。 興味深いことに、オーナーがわずか1時間前に行った変更が攻撃を引き起こしたため、別のラグプルである可能性があります。アラートを確認する

  • WooFi エクスプロイト事件

3月5日、Arbitrum上のWooFiがエクスプロイトを受け、875万ドルの損失が発生しました。 原因は脆弱な価格依存性でした。WooFiのレンディング市場は、Wooの価格が極端に安くなるように操作されたため、エクスプロイターがフラッシュローンを通じて大量のWooの価格が極端に安くなるように操作されたため、エクスプロイターがフラッシュローンを通じて大量のWooを借り入れ、容易に返済できたために悪用されました。

価格メカニズムは価格チェックにChainlinkのオラクルを利用していましたが、Arbitrum上のChainlinkは$Wooの価格を提供せず、攻撃を防ぐことができませんでした。ポストモーテムレポートを読む

👉 上記のインシデントの攻撃トランザクション、根本原因、PoCは、セキュリティインシデントリストで確認できます。

ブログ記事&動画

L2チェーンが、トッププロトコルのセキュリティを強化し、チェーン上のユーザー資産を保護するために実施できるいくつかの対策。

BlockSecで、プロトコルのライフサイクル全体を保護しましょう。ローンチ前のセキュリティ監査から、ローンチ後の攻撃監視・ブロック(Phalcon)まで、すべてお任せください。

BlockSec CEOのYajin Zhouが、Open Information House @ ETHDenver 2024で「BlockSecとセキュリティの最前線」と題された重要なスピーチを行います。

ブロックチェーンセキュリティに対する考え方を変える、魅力的で示唆に富む議論の機会をお見逃しなく。

パートナーシップ

Blockscoutブロックチェーンエクスプローラーは、MetaSuitesアドレスラベルEthereumPolygonGnosisOptimismBase)およびGPTによるトランザクション説明Ethereum)機能を統合し、さらにPhalcon Explorerへのクイックアクセスも追加しました。🎉🎉

新サイト、新章

エキサイティングなお知らせです。ウェブサイトが全面的にリニューアルされました!

BlockSecは、プロトコルのローンチ前段階からローンチ後段階まで、あらゆる段階で安全性を確保し、お客様をサポートします!こちらをクリックして探索してください。

Sign up for the latest updates
Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 23 and March 29, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.53M. Incidents include a $679K flawed burn mechanism exploit on the BCE token, a $512K spot-price manipulation attack on Cyrus Finance's PancakeSwap V3 liquidity withdrawal, a $133.5K flash-loan-driven referral reward manipulation on a TUR staking contract, and multiple integer overflow, reentrancy, and accounting error vulnerabilities in DeFi protocols. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Newsletter - March 2026
Security Insights

Newsletter - March 2026

In March 2026, the DeFi ecosystem experienced three major security incidents. Resolv Protocol lost ~$80M due to compromised privileged infrastructure keys, BitcoinReserveOffering suffered ~$2.7M from a double-minting logic flaw, and Venus Protocol incurred ~$2.15M following a donation attack combined with market manipulation.