2024年第1四半期に7億3970万ドルの暗号資産がハッキング＝サイバース

2024年第1四半期は、Web3セキュリティの物語における極めて重要な章として展開され、脅威の緩和における顕著な成果と深刻な課題の両方が示されました。

本レポートは、AI Web3 セキュリティ企業である Cyvers 社が 2024 年第 1 四半期に発生したセキュリティインシデントを包括的に分析し、新たな脅威を浮き彫りにするとともに、エコシステムにおけるレジリエンスの重要性を強調した結果をまとめたものである。

要旨

DeFi（Decentralized Physical Infrastructure Networks）、DePIN（Decentralized Physical Infrastructure Networks）、RWA（Real World Assets）、その他のブロックチェーン・ベースのアプリケーションの継続的な進歩に伴い、高度なセキュリティ脅威も増加しています。攻撃のベクトルも多様化し、コードの脆弱性が金銭的な大打撃につながったり、アクセス制御の侵害が莫大な損害につながったりしている。

このような傾向は、Web3コミュニティにおけるセキュリティ対策の強化と警戒の強化が急務であることを示しています。

Cyversは BeInCryptoと提携し、リアルタイムの脅威検知とAI主導のセキュリティ・ソリューションの先駆者として、この大義へのコミットメントを示しました。その目的は、脅威を迅速かつ正確に特定し、予防的な緩和策を提供し、ブロックチェーン全体の資産を保護することです。

これらの脅威は、スマートコントラクトの脆弱性からフィッシング詐欺まで、Web3テクノロジーのオープンで相互接続された性質を悪用することを目的とした、さまざまな攻撃ベクトルを展開しています。このような課題に対し、Web3コミュニティは結集し、エコシステムのインフラ基盤としてのセキュリティの重要性を強調しています。

主なセキュリティの傾向と統計

2024年第1四半期の盗難総額（TSV）は約7億3,970万ドル。1月の攻撃件数が最も多く（27件）、次いで3月（21件）、2月（18件）となっている。攻撃回数は最も少なかったものの、2月の経済的影響は大きく、攻撃により約4億530万ドルが失われた。

攻撃1件あたりの平均損失額は約670万ドルと計算され、Web3のセキュリティに関わる賭け金の高さを示している。

最も一般的な攻撃ベクターはコード脆弱性で、37件、約1億6,590万ドルの損失をもたらした。アクセス・コントロール攻撃は、発生件数は少ないものの、被害額ははるかに大きく、約5億7,380万ドルの損失をもたらしました。

Cyversが独占的にハッキングを検知した事例は10件あり、プロアクティブなセキュリティ対策、洗練されたアルゴリズム、継続的な最適化の重要性が浮き彫りになった。

このうち3件は、2024年第1四半期のハッキング・トップ10に入っている。

PlayDappのセキュリティ侵害分析

2024年2月、著名なゲームおよびNFTプラットフォームであるPlayDappは、前例のないPLAトークンのミントにつながる2つの連続したエクスプロイトに見舞われ、深刻なセキュリティ上の課題に直面しました。当初、2月9日に不正なエンティティが2億PLAトークンをミントし、その価値はおよそ3650万ドルでした。

数日後の2月12日には、同じエンティティがさらに17億9,000万PLAトークンを鋳造したと報告されており、これは2億5,390万ドルという途方もない額に相当する。これらの悪用は合計で約2億9000万ドルの損失につながった。

侵入の主な原因は、スマートコントラクトの脆弱性であると特定され、攻撃者は必要な権限なしにトークンをミントすることができた。不正なトークンの突然の流入によりPLAトークンの市場価格が急落したため、その影響は即座に深刻なものとなった。PlayDappのチームは攻撃者と交渉を試み、盗まれた資金の返還に100万ドルの懸賞金を提示したが、効果はなかった。

事件後に講じられたセキュリティ対策には、PLAスマートコントラクトの一時停止と、保有者残高のエクスプロイト前のスナップショットに基づくコントラクトの移行開始が含まれる。契約を一時停止し、法執行機関やブロックチェーン・フォレンジック企業と連携するというPlayDappの迅速な対応は、セキュリティと透明性へのコミットメントを実証した。取引所と連絡を取り、盗まれた資金を追跡する努力は継続中であり、影響を緩和し、将来的にこのようなインシデントを防止するための戦略が活発に議論されている。

続きを読むスマートコントラクト監査用AI：迅速な解決策か危険なビジネスか？

PlayDapp事件は、スマートコントラクトに内在する脆弱性、特にトークンのミントと管理に関する警鐘となる。実際、PlayDappインシデントからの教訓は多岐にわたります。継続的なセキュリティ警戒の絶対的な必要性、事前および事後のセキュリティ対策の重要性、セキュリティのベストプラクティスに関するコミュニティ教育の常に存在する必要性などです。

Web3セキュリティに関する規制の変化

2024年第1四半期、世界のデジタル資産を取り巻く環境は、Web3のセキュリティに大きな影響を与える注目すべき規制の進展を見た。

PwCのGlobal Crypto Regulatory Reportは、デジタル資産規制の継続的な進化を強調しており、2023年には大幅な進展が見られたものの、業界は引き続き大きな規制作業に直面していることを示唆している。このような進展は、運用のための構造化された枠組みを提供し、グローバルな規制政策を強化し、グローバルなプルデンシャル基準の確立に役立ち、EUの暗号資産市場規制やその他の国際政策に影響を与える可能性があるため、極めて重要である。

さらに、注目されたFTXの破綻後、規制機関は、投資家をよりよく保護するため、デジタル資産規則により厳しいアプローチをとるよう促されている。例えば、米国証券取引委員会（SEC）は、デジタル資産の取引所と提供に関する新規則を発表する予定だった。これらの規則は、デジタル資産取引所のガイドラインと並んで、デジタル資産のオファリングに関する包括的な規制を提供することが期待されていた。

このような過去の出来事への対応は、監督を改善し、将来的に同様の事態を防止しようという規制機関の明確な意図を示すものである。

これらの規制は、投資家を保護するだけでなく、デジタル資産市場の秩序ある機能を確保することを目的としている。Cyversにとって、こうした動きは規制の議論に貢献する機会となり、Web3空間におけるセキュリティの必要性とイノベーションの可能性のバランスを取るための政策立案を導くために、その専門知識を活用することができる。

規制が進化するにつれ、コンプライアンスに沿ったセキュリティ・サービスを提供するCyversとBeInCryptoの能力がますます重要になります。したがって、2024年第1四半期は、Web3セキュリティにとって極めて重要な時期であり、世界中の規制機関が過去の出来事から教訓を得て、業界の防御を強化し、急成長するデジタル経済の安全な基盤を確立することを特徴としています。

Web3セキュリティ強化のための提言

サイバース氏は、強化されたWeb3の状況を追求するため、エコシステム内のさまざまな利害関係者のセキュリティ態勢を強化する戦略的な方法をBeInCryptoに説明した：

プロジェクト

• スマート・コントラクトの監査：スマートコントラクトの監査：スマートコントラクトが信頼できる企業による徹底的なセキュリティ監査を受けるようにする。コントラクトのロジックに大きな更新や変更があった場合は、定期的に再監査を行う。当社の推奨する監査人については、こちらをご覧ください。
• インシデント対応計画：潜在的なWeb3特有の侵害に合わせたインシデント対応計画を策定し、即時の対応、コミュニケーションプロトコル、および緊急時対策を詳述する。
• セキュリティモジュールの統合Cyversが提供するようなリアルタイムの脅威検知とセキュリティモジュールを導入し、悪意のある活動を継続的に監視し、防御する。

開発者向け

• セキュリティ優先の設計：システムを設計する際にセキュリティ優先のアプローチを採用し、開発のあらゆる段階でセキュリティを優先する。
• 継続的な教育最新のセキュリティ研究、脆弱性、保護戦略について常に情報を得る。コミュニティと連携し、知識とベストプラクティスを共有する。
• 制御の分散化：システムにおける単一障害点を避けましょう。マルチシグネチャ・ウォレットや分散型意思決定を重要な業務に活用しましょう。

投資家向け

• デューデリジェンス：投資する前に、プロジェクトのセキュリティ慣行を確認し、デューデリジェンスを行う。監査報告書、セキュ リティ関連会社、インシデント履歴をチェックする。
• 保有資産の分散：様々なプラットフォームやウォレットに分散して保有することで、標的型攻撃からポートフォリオを守る。
• 信頼できるプラットフォームを利用する：セキュリティの実績があり、最新のセキュリティ対策を導入しているプラットフォームと取引する。

ユーザーのために

• 安全なウォレットの実践：重要な保有資産にはハードウェア・ウォレットを活用し、秘密鍵の安全な保管を実践し、多要素認証を採用する。
• フィッシングに注意：Web3領域でよく見られるフィッシングの手口について自分自身を教育する。URLを確認し、スマートコントラクトのやり取りをダブルチェックし、未承諾のリクエストに注意すること。
• アップデートを怠らない：定期的にソフトウェアを最新版にアップデートし、セキュリティパッチを確実に適用する。

続きを読むDeFiレンディング・プロトコルのリスクの特定と調査

これらの推奨事項を遵守することで、Web3のエコシステム全体の関係者はリスクプロファイルを大幅に削減し、安全で回復力のあるデジタル環境の構築に貢献することができます。集団的な警戒と積極的な対策によって、私たちはWeb3のエコシステムを安全かつ信頼性をもってナビゲートすることができるのです。

ベスト暗号資産取引所

Bitget 見る

BingX 見る

Margex 見る

BYDFi 見る

Coinrule 見る

ベスト暗号資産取引所

Bitget 見る

BingX 見る

Margex 見る

BYDFi 見る

Coinrule 見る

ベスト暗号資産取引所

Bitget

BingX

Margex

BYDFi

Coinrule