最新のWeb3業界セキュリティレポートによると、Gate Researchによると、1月に合計40件のセキュリティインシデントが発生し、約8794万ドルの損失が発生しました。インシデントの性質は多岐にわたり、アカウント侵害が主要な脅威であり、合計損失の52%を占めています。報告書では、Phemex取引所へのハッカー攻撃、NoOnesに影響を与える重大なセキュリティ脆弱性、およびMobyに影響を与えるプライベートキーの漏洩など、主要なセキュリティインシデントを詳細に分析しています。アカウントハックとスマートコントラクトの脆弱性が、その月の最も重要なセキュリティリスクとして特定され、業界が引き続き強化されたセキュリティ対策の必要性を強調しています。

エグゼクティブサマリー

• 2025年1月、Web3業界は40件のセキュリティインシデントを経験し、前月から大幅に増加し、約8794万ドルの損失が発生しました。
• 今月の主な攻撃手法は、スマートコントラクトの脆弱性とアカウントの侵害が含まれていました。
• アカウントハックは依然として主要な脅威であり、暗号業界の総損失の52%を占めています。
• 主な公共ブロックチェーン、BSC、Ethereum、Solanaを含む多くの損失が発生しました。
• 今月の主な出来事には、Phemex取引所へのハッカー攻撃による7,000万ドルの損失、NoOnesに影響を与える重大なセキュリティの脆弱性による7,200万ドルの損失、そしてMobyでの秘密鍵の漏洩による2,500万ドルの損失がありました。

セキュリティインシデントの概要

Slowmistのデータによると、2025年1月には40件のセキュリティインシデントが記録され、総損失額は8794万ドルに上りました。攻撃は主にスマートコントラクトの脆弱性、アカウント侵害、およびその他の手法に関与していました。2024年12月と比較して、総損失額は月々20倍に増加しました。アカウント侵害が攻撃の主要な原因であり、報告された21件のインシデントが全体の52%を占めています。公式のXアカウントやウェブサイトは、依然としてハッカーの主な標的となっています。[1]

今月のパブリックチェーンエコシステム全体のセキュリティインシデントの分布は、影響を受けた6つのプロジェクト(AST、BUIDL、FortuneWheel、HORS、IPC、Mosca)がすべてBSC(Binance Smart Chain)エコシステムの一部であり、合計損失が60万ドルを超えていることを示しています。一方、影響を受けた5つのプロジェクト(Moonray、UniLend、SuperVerse、Sorra、LAURA)はイーサリアム(ETH)エコシステムに属しており、合計で28万ドル以上の損失を被りました。Holoworld AIとDAWNは、Solanaエコシステム内のプロジェクトで、セキュリティインシデントに見舞われました。これらのインシデントは、パブリックチェーンエコシステムプロジェクト全体のセキュリティを強化する緊急の必要性を浮き彫りにしています。頻繁な攻撃と脆弱性を考えると、BSCはスマートコントラクトの監査、リスク管理メカニズム、およびオンチェーン監視ツールを強調して、全体的なセキュリティ基準を改善する必要があります。

今月、いくつかのブロックチェーンプロジェクトが重大なセキュリティインシデントに見舞われ、著しい財務損失を被りました。注目すべき事例には、Phemex取引所のハッキング事件による7,000万ドルの損失、NoOnesのセキュリティ脆弱性による720万ドルの損失、Mobyの秘密鍵漏洩による250万ドルの損失が含まれます。

1月の主要なセキュリティインシデント

公式の開示によると、以下のプロジェクトは1月に7970万ドルを超える損失を被った。これらの出来事は、アカウントの侵害やスマートコントラクトの脆弱性が主な脅威であることを強調しています。

• Phemexハック事件では、攻撃者は複数のチェーンから大量の資産を同時に抽出し、凍結可能なステーブルコイン（USDCやUSDTなど）の変換を優先しました。その後、他のトークンは価値の順に清算されました。これらの行動はスクリプト化されていませんでしたが、手動で実行され、資産は新しいアドレスに手動で送信されて変換されました。完了すると、資金は別の新しいアドレスに送金されました。
• NoOnesのホットウォレットは、7,000ドル未満を含む数百件の不審な取引に遭遇しました。NoOnesのCEOであるRay Youssefは、テレグラムチャンネルでハッキングが1月1日に発生したことを確認し、それは彼らのSolanaクロスチェーンブリッジの脆弱性に起因するものだと述べました。
• Mobyは疑わしい秘密鍵の漏えいに苦しんでいます。ハッカーは契約を改ざんし、emergencyWithdrawERC20関数を使用して207 ETH、3.7 BTC、および1,470,191 USDCを引き出し、合計約$2.5百万を引き出しました。

Phemex

プロジェクト概要：Phemexはシンガポールに拠点を置く暗号通貨デリバティブ取引所です。これは、元モルガン・スタンレーの幹部によって2019年に設立されました。取引所は低い手数料、高い流動性、そして急速な成長で知られており、使いやすいチャートとウォレットインターフェースを提供しています。

インシデントの概要：Phemexは1月23日に攻撃を受け、約7000万ドル相当の暗号通貨を失いました。この攻撃は、他の主要な暗号通貨取引所での脆弱性の悪用と類似したパターンに従っているようです。MetaMaskの最高セキュリティ研究者であるテイラーモナハン氏は、「攻撃者は複数のチェーンから大量の資産を同時に抽出し、優先して凍結可能なステーブルコイン（USDCやUSDTなど）を変換しました。その後、他のトークンは価値の順に売却されました。これらの行動はスクリプト化されたものではなく、手動で行われました。資産は変換のために新しいアドレスに手動で送信されました。完了後、別の新しいアドレスに転送されました。資産は適切なマネーロンダリングチームが数週間または数か月後に引き出すまで保管されました。」[2] と述べています。

インシデント後の推奨事項:

• クロスチェーン監視と異常パターン認識：マルチチェーン資産フローをサポートするリアルタイム監視システムを展開し、非スクリプトの手動操作の異常な特徴を特定するためにAIベースの行動分析を統合します（例：短時間で複数のチェーン間で大規模な資産の移動、頻繁なアドレス変更など）。これらの不規則性を検出するために動的な閾値アラートを設定する必要があります。
• 業界レベルのリスク警告ネットワークの設立: USDTやUSDCなどの主要ステーブルコイン発行者との即時通信チャネルを設定します。攻撃が確認された場合、取引所がAPIインターフェースを介して資産凍結リクエストをトリガーできる事前承認契約に署名することで、対応時間を短縮します。
• 分散型のホットウォレットとコールドウォレットのハイブリッド管理：マルチシグネチャーのコールドウォレットを使用して資産の90%以上を保管し、必要に応じてホットウォレットの制限を動的に割り当てます。キーのシャーディング技術を使用してキーストレージを分散させ、世界的な損失をもたらす可能性のある単一障害点を防ぎます。

ノーワンズ

プロジェクト概要：NoOnesは、人々をグローバルな会話（チャット）や世界の金融システム（支払い）に接続することで、人々に力を与える金融コミュニケーションスーパーアプリです。開発途上国の人々は、今では誰にでも無料でメッセージを送信し、地元の市場で約250の支払方法を取引し、ビットコインウォレットを使用してピアツーピアの支払いを行うことができるようになりました。これらすべては価値の保管庫として機能するビットコインウォレットを使用して行うことができます。

インシデント概要:2025年1月1日、NoOnesはEthereum、Tron、Solana、およびBSCで攻撃され、約720万ドルの損失を被った。 NoOnesのホットウォレットは、それぞれ7,000ドル未満の金額を含む数百件の怪しい取引を経験した。 NoOnesのCEOであるRay Youssefは、ハッキングが1月1日に発生したことを彼らのTelegramチャンネルで確認し、その原因はSolanaのクロスチェーンブリッジにある脆弱性にあると述べた。プラットフォームはその後、影響を受けたSolanaブリッジをシャットダウンし、包括的な侵入テストが完了するまでSolanaサポートを復旧しないと述べた。[3]

インシデント後の推奨事項:

• クロスチェーンブリッジのセキュリティ監査を強化する: クロスチェーンブリッジ全体に対して包括的なセキュリティ監査を実施することをお勧めします。特に、スマートコントラクトやクロスチェーンプロトコルの脆弱性に焦点を当てて、第三者のセキュリティ企業による侵入テストやコードレビューを行い、ブリッジのセキュリティを確保してください。
• マルチシグネチャーとコールドウォレットストレージメカニズムを実装する：ホットウォレット攻撃のリスクを軽減するため、マルチシグネチャー（Multi-Sig）メカニズムを採用することで、大口送金を完了する前に複数の承認が必要となります。さらに、ほとんどの資金はコールドウォレットに保管され、日常取引のためにホットウォレットには一部のみ保持されています。
• リアルタイムモニタリングおよび異常取引アラートシステムの導入: ホットウォレットのアクティビティを追跡および分析するためのリアルタイム取引モニタリングシステムを展開します。一定の閾値を超える転送や大量の小口取引が急速に発生するなどの異常な取引に対するアラートを設定します。これらのアラートは自動的にトリガーされ、取引機能が一時停止します。

モビー

プロジェクト概要：MobyはSLE（Synchronized Liquidity Engine）モデルによって動作するオンチェーンオプションプロトコルで、最も狭いスプレッド、最高の流動性、およびRobinhoodレベルのUI/UXを提供しています。

インシデント概要：オンチェーンオプションプロトコルのMobyは、疑わしい秘密鍵の漏洩により、攻撃者が契約を変更および実行することができるようになりました。緊急引き出しERC20関数を使用して、207ETH、3.7BTC、および1,470,191USDCを引き出しました。これらのトークンの総額は約2,500,000ドルです。 Mobyは、現在の状況でユーザー資産をさらに保護するために、次のアドレスに関連する有効な承認トランザクションを取り消すことを推奨しています：PositionManager、SettleManager、sRewardRouterV2、およびmRewardRouterV2。 Mobyは、これらの措置がウォレットのセキュリティを確保するための予防措置であり、安定かつ安全な環境を回復および維持するための取り組みが進行中であることを述べています[4]。

インシデント後の推奨事項：

• レイヤードマルチサイン管理を確立する：プライベートキーストレージをハードウェアレベルのコールドウォレット+マルチサインソリューションにアップグレードし、開発権限を資金管理から分離します。コア契約の重要な機能（例：）にタイムロックとDAOガバナンスの二重検証を追加します。emergencyWithdrawERC20)、重要な操作に対して72時間の実行遅延を設定し、マルチサインコミュニティの確認が必要です。
• 動的認可モニタリングシステムを構築する：ユーザーインターフェースに統合されたオンチェーン認可リアルタイムトラッキングダッシュボードを開発し、すべての契約インタラクション権限とリスクレベルを表示します。異常に大きな転送や契約の異常が検出されたときにスマートコントラクトレベルの自動取消をトリガーする自動認可取り消しボットを展開します。
• セキュリティインシデントサーキットブレーカーレスポンスシステムを設立する：機械学習に基づいた異常トランザクション検出モジュールを展開し、時間/頻度/金額の閾値などのマルチ次元リスク制御ルールを設定する（感度機能に対して）緊急引き出し. 異常が発生したときに契約を自動的に凍結し、フルノードの検証プロセスを開始する緊急一時停止スイッチを開発します。

結論

2025年1月、複数のDeFiプロジェクトがセキュリティ脆弱性攻撃を受け、数百万ドルの資産を失う結果となりました。これらの事件には、Phemex取引所へのハッカー攻撃、NoOnesに影響を与える重大なセキュリティ脆弱性、およびMobyでの秘密鍵漏洩などが含まれます。これらの出来事は、スマートコントラクトのセキュリティ、クロスチェーンプロトコルの相互運用性、および流動性プールの管理に関連する重大なリスクを露呈しました。業界は緊急にスマートコントラクトの監査を強化し、リアルタイムのモニタリングを導入し、プラットフォームのセキュリティを強化し、ユーザーの信頼を高めるために多層防御メカニズムを実装する必要があります。Gate.ioは、ユーザーにセキュリティの最新情報を常に確認し、信頼できるプラットフォームを選択し、個人資産保護を強化するよう呼びかけています。


Reference:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. X,https://x.com/wublockchain12/status/1882605904761340362
3. X,https://x.com/wublockchain12/status/1883310710132035999
4. X,https://x.com/BeosinAlert/status/1877180521710596452

gate Research
Gate Researchは包括的なブロックチェーンと暗号研究プラットフォームであり、技術分析、ホットなインサイト、市場レビュー、産業研究、トレンド予測、マクロ経済政策分析など、読者に深い内容を提供しています。

クリックしてくださいリンク詳細を知る

免責事項
仮想通貨市場への投資は高いリスクを伴います。ユーザーは独自の調査を行い、資産や製品の性質を十分に理解することをお勧めします。購入投資判断を行う前に。Gate.io投資判断によって引き起こされた損失や損害について、は一切責任を負いません。