Back to Blog

bZxセキュリティインシデントの初期分析

Code Auditing
November 6, 2021

11月5日、bZXプロトコルがハッキングされたと報告されました。攻撃者は影響を受けたスマートコントラクトからトークンを流出させました。攻撃トランザクションの初期分析後、開発者の秘密鍵が侵害されたことが原因であると疑っています。

攻撃プロセス

プロセスは比較的単純です。特権関数transferOwnershipが呼び出され、影響を受けたスマートコントラクトの所有権が新しいコントラクト(例: 0x0acc0e5faa09cb1976237c3a9af3d3d4b2f35fa5)に移管されます。その後、新しいコントラクトの所有者は、スマートコントラクトに承認されたすべてのトークンを任意のウォレットアドレスに転送できます。

特権関数transferOwnershipは、スマートコントラクトの現在の所有者のみが呼び出すことができることに注意してください。実際、この関数の呼び出し元は0xb7f72028d9b502dc871c444363a7ac5a52546608であり、これは影響を受けたスマートコントラクトのコントラクト作成者であることが判明しています。

コントラクト作成者が所有権を他のアドレスに移管した正確な理由は不明ですが、開発者の秘密鍵が侵害された(または漏洩した)ためであると疑っています。

結論

要約すると、DAppsの秘密鍵のセキュリティは、特にDAOを使用していないアプリケーションのセキュリティにとって不可欠です。プロジェクトオーナーは、秘密鍵を保護するために、秘匿計算やMPCなどの新しい技術を使用することを推奨します。

BlockSecについて

BlockSecは、2021年に世界的に著名なセキュリティ専門家グループによって設立された、先駆的なブロックチェーンセキュリティ企業です。同社は、新興のWeb3の世界のセキュリティと使いやすさを向上させ、その大規模な普及を促進することに尽力しています。そのために、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発と脅威のプロアクティブなブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、そしてWeb3ビルダーが仮想通貨の世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。

今日までに、同社はMetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300を超える著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalを含む一流の投資家から2回の資金調達で数千万米ドルを受け取っています。

公式サイト: https://blocksec.com/

公式Twitterアカウント: https://twitter.com/BlockSecTeam

Sign up for the latest updates
〜80万ドルの損失:HinkalのDouble-Spend攻撃 | BlockSec週次レポート
Security Insights

〜80万ドルの損失:HinkalのDouble-Spend攻撃 | BlockSec週次レポート

2026年6月29日〜7月5日の週次セキュリティレポートでは、Ethereumで約80万ドルの損失をもたらした1件の重大インシデントを取り上げます。Hinkalのシールドプールプロトコルが二重支払い攻撃により流出。旧ノート形式の欠陥を悪用し、単一デポジットから複数のnullifierを導出したと見られます。回路レベルの脆弱性、攻撃フロー、nullifierベースのプライバシープロトコルへの影響を分析します。

ニュースレター - 2026年6月
Security Insights

ニュースレター - 2026年6月

本月報は2026年6月の主要セキュリティインシデント3件を対象とし、確認済み損失総額は約2,200万ドルです。高度なハニーポット攻撃がトークン許可の未検証を悪用し、JaredFromSubwayのMEVボットから約1,500万ドルを流出。旧型Aztecロールアップ2件はプルーフ決済の境界ギャップにより約435万ドルを損失。SecondFiのEd25519実装欠陥により374ウォレットの秘密鍵が露出し約240万ドルが流出。3件に共通するのは、表面上は保たれているように見えたセキュリティ保証が実際には機能していなかった点です。

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート
Security Insights

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート

2026年6月22〜28日のブロックチェーンセキュリティ報告:EthereumとCardanoで約410万ドルの損失を確認。Taikoブリッジ攻撃はSGX署名鍵の露出と不完全なアテステーションポリシーを悪用し、悪意のあるプルーバー登録とL2状態証明の偽造を可能にした。SecondFiはEd25519ナンス導出の欠陥により、公開Cardanoトランザクションから秘密鍵の復元が可能となった。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit