Gate Researchの最新のWeb3業界セキュリティレポートによると、2月には15件のセキュリティインシデントが発生し、総損失額は16.76億ドルでした。インシデントの種類は多岐にわたり、アカウントハックや契約の脆弱性が主な脅威となり、総損失額の58.3%を占めています。レポートでは、Bybit取引所のウォレット盗難、厳格な権限コントロールを欠いていたInfini、契約の脆弱性に直面したzkLendなど、主要なセキュリティインシデントの詳細な分析が提供されています。今月の主要なセキュリティリスクとして、アカウントハッキングや契約の脆弱性が特定され、業界がセキュリティ対策を継続的に強化する必要性が強調されています。

概要

• 2025年2月、Web3業界は15件のセキュリティインシデントを経験し、前月と比較して損失額は総額16.76億ドルに上昇しました。
• 今月のセキュリティインシデントは主に契約の脆弱性とアカウントハックに関連しており、暗号通貨業界全体の損失の53.3%を占めています。
• 異なるチェーン間でセキュリティインシデントの分布を見ると、3つのプロジェクトがBSCブロックチェーンで損失を被った。
• 今月の主な事件には、Bybit取引所がウォレット盗難（15億ドルの損失）、Infiniが厳格な許可制御を欠いている（5000万ドルの損失）、およびionicがソーシャルエンジニアリング攻撃に直面している（1230万ドルの損失）が含まれています。

セキュリティインシデント概要

SlowMistのデータによると、2025年2月には15件のセキュリティインシデントが記録され、損失額は167.6億ドルでした。攻撃は主に契約の脆弱性、アカウントハッキング、その他の手法が関わっていました。2025年1月と比較して、合計損失額は18倍に増加しました。契約の脆弱性とアカウントハッキングが攻撃の主な原因であり、関連するハッキングインシデントが8件発生し、合計の53.3%を占めていました。公式Xアカウントは引き続きハッカーの主な標的でした。[1]

今月の公共ブロックチェーンにおけるセキュリティインシデントの分布は、BankX、Cashverse、Four.Memeの3つのプロジェクトがすべてBSCエコシステム内にあり、累積損失が33万ドルを超えていることを示しています。これらの一連のインシデントは、公共チェーンエコシステムプロジェクトのセキュリティが緊急に強化される必要があることを示しています。頻繁な攻撃や脆弱性に直面しているBSCは、スマートコントラクトの監査、リスク管理メカニズム、オンチェーンモニタリング手段により、全体のセキュリティ基準を向上させる必要があります。

今月、いくつかのブロックチェーンプロジェクトが重大なセキュリティインシデントに見舞われ、大きな財務損失を被りました。注目すべきインシデントには、Bybit取引所のウォレット盗難（15億ドルの損失）、Infiniの厳格な権限制御の不備（5000万ドルの損失）、およびzkLendの契約の脆弱性（960万ドルの損失）が含まれています。

2月の主要なセキュリティインシデント

公式開示によると、以下のプロジェクトは2月に15億6000万ドルを超える損失を被ったという。厳格な許可制御の欠如とウォレットの盗難が主な脅威となった。

• Bybitは、北朝鮮のハッカーグループであるLazarus Groupによって、Safe{Wallet}のフロントエンドコードを改ざんし、署名インターフェースを偽造して、$15億の資金流出を経験したとされています。これにより、Bybitのマルチ署名メカニズムをバイパスして、Ethereumのコールドウォレットを制御されたと報じられています。
• Infiniは、厳格な権限管理の欠如により、5,000万ドルの損失を被りました。攻撃者は、管理者権限を持つウォレットを取得することに成功し、これらの権限を使用して不正な操作を実行しました。
• 攻撃者が偽のLombard BTC（LBTC）トークン契約を展開し、それらを担保として借り入れ、ionicプラットフォームでさまざまな資産を借り入れたとき、ionicは1220万ドルを失いました。

Bybit

プロジェクト概要:
2018年3月に設立されたBybitは、先進的なテクノロジーと優れた取引体験で知られるトップクラスの仮想通貨取引所です。Bybitは新興デジタル資産市場で最も信頼される取引所になることを目指しています。

インシデントの概要:
2月21日、Bybitはウォレットの盗難により499,000ETH（約15億ドル）を失い、これは暗号通貨業界史上最大の単一の盗難事件となりました。調査によると、この攻撃は北朝鮮のハッカーグループであるラザルス・グループによって実行された可能性が高いとされています。彼らの主な手法は、Safe{Wallet}のフロントエンドコードを改ざんし、署名インターフェースを偽装することで、Bybitのマルチサインのメカニズムを迂回し、最終的に彼らのイーサリアムの冷たいウォレットを制御し、大規模な資金を匿名アドレスに送金することでした。

SlowMistセキュリティチームの分析によると、ハッカーはまず悪意のある契約を展開し、その後Safe{Wallet}サーバーに侵入し、フロントエンドのコードを改ざんし、JavaScriptファイルを置き換えました。これにより、ユーザーは取引構築中に埋め込まれた悪意のあるロジックを含む取引に無意識に署名することになりました。この高度な技術により、攻撃者はBybitのマルチシグネチャ検証メカニズムをうまく回避し、盗難を完了させました。[2][3]

インシデント後の推奨事項:

• マルチシグネチャウォレットセキュリティアーキテクチャのアップグレード：Safe契約をバージョン1.3.0以上にアップグレードし、取引権限を厳密に制限するためのガードメカニズムを有効にする；マルチシグネチャ+MPC+HSMコールドウォレットを実装して、資産の90％以上を保管し、ホットウォレットの限界を動的に調整し、地理的に分散されたキーストレージとシャーディングを組み合わせて、単一障害点がグローバルな損失を引き起こすのを防ぎます。
• 不正なアクセスを防ぐためにアカウントセキュリティを強化します：二要素認証（2FA）を有効にし、アドレスホワイトリストを実装し、ハッカーによる不正なアカウントアクセスを防ぐためにAI取引行動モニタリングを統合します。
• 業界全体のセキュリティ同盟の促進：ハッカー攻撃インテリジェンスデータベースの設立と、取引所、オンチェーン分析会社、DeFiプラットフォーム間のセキュリティ同盟の促進を通じて、迅速な対応メカニズムの構築とハッカーの脱出経路の削減を図る。

Infini

プロジェクト概要:
Infiniは暗号通貨に焦点を当てた新しいタイプのステーブルコイン銀行です。同社はスマートコントラクトとブロックチェーン技術を利用して、ユーザーに預金、ローン、支払いなどの分散型金融サービスを提供しています。

インシデントの概要:
2月24日、厳格な許可制御の不足により、攻撃者が管理者権限を持つウォレットを取得し、これらの権限を使用して不正な操作を行い、約5000万ドルを盗んだ。主な脆弱性は、攻撃者が直接重要な操作を制御できるようにしたスマートコントラクトの厳格な許可管理の不足であり、管理者アカウントが十分なマルチシグネチャや許可分離対策を実装していなかったことでした。これにより、1つのウォレットが侵害されると、全システムを制御できるようになりました。[4]

発生後の推奨事項:

• パーミッション管理を強化する：主要な取引が1つの管理者アカウントによって制御されるのではなく、複数のプライベートキーが必要なようにするためにマルチサイン要件を実装します。
• セキュリティメカニズムの強化：スマートコントラクトセキュリティのアップグレードと、単一の管理者アカウントへの依存を減らすために分散型ガバナンスメカニズムを使用します。
• コード監査とリアルタイム監視システム: CertiK、SlowMistなどのプロのブロックチェーンセキュリティ企業を利用して、スマートコントラクトの包括的な監査を実施し、異常な資金の動きを監視し、疑わしい活動が発生した場合には自動的に資金を凍結します。

イオン

プロジェクトの概要:
ionicは、Modeエコシステムに基づく貸出プロトコルで、ユーザーがさまざまな資産を担保として借入れることを可能にする許可なし流動性市場を提供しています。Modeの低手数料とスケーラブルな機能を活用して、多くのDeFiユーザーを惹きつけています。

インシデントの概要:
2月5日、ionicはソーシャルエンジニアリング攻撃を受け、約880万ドルの損失を被りました。攻撃者は偽のLombard BTC（LBTC）トークン契約を展開し、それらを担保としてionicプラットフォーム上でMBTC、uniBTC、wrsETH、WETH、STONEなどのさまざまな資産を借り入れました。攻撃者はわずか0.01 ETHの初期資金から始め、この方法で違法に多額の資産を取得し、Tornado Cashを介して資金を洗浄しました。[5]

インシデント後の推奨事項:

• 担保資産の検証を強化する: メインストリームでないすべての担保に対してオンチェーン資産の認証を実装し、オラクルと信頼スコアリングメカニズムを通じて潜在的な詐欺トークンをフィルタリングします。
• スマートコントラクトにホワイトリストメカニズムを追加する：担保を公式に承認された資産のみに制限し、悪意のある契約が担保資産を偽造するのを防ぐために動的リスクスコアリングを採用する。
• リアルタイムモニタリングおよび早期警告システム：異常なアクティビティを迅速に検出し、対応するためのリアルタイムモニタリングメカニズムを確立します。

概要

2025年2月、複数のDeFiおよCeFiプラットフォームがセキュリティの脆弱性攻撃に直面し、数億ドルに及ぶ資産損失を被った。これらの事件にはBybit取引所のハッキング、Infiniの厳格な許可制御の欠如、そしてionicがソーシャルエンジニアリング攻撃の被害に遭ったものが含まれていた。これらの出来事は、セキュリティ、スマートコントラクトのコード監査、およびリスク管理に関する暴露された重大なリスクを示しました。業界は緊急にスマートコントラクトの監査を強化し、リアルタイムのモニタリングを実施し、プラットフォームのセキュリティとユーザー信頼を向上させるための多層的な保護メカニズムを導入する必要があります。Gate.ioはユーザーに警戒を保ち、資金を保護するための必要な予防措置を取るよう呼びかけています。


参考文献:

1. Slowmist、https://hacked.slowmist.io/zh/statistics
2. X,https://x.com/benbybit/status/1894768736084885929
3. SlowMist,https://slowmist.medium.com/slowmist-hacker-techniques-and-questions-behind-bybits-nearly-1-5-billion-theft-09f0b59da2e2
4. X,https://x.com/0xinfini/status/1893973307596435871
5. X,https://x.com/wublockchain12/status/1886953752973992438

Gate.ioのリサーチ
Gate Researchは、詳細なコンテンツを提供する包括的なブロックチェーンおよび仮想通貨研究プラットフォームです。これには技術分析、ホットトピックの洞察、市場レビュー、業界調査、トレンド予測、およびマクロ経済政策分析が含まれます。

クリックここ今すぐ訪れる

免責事項
仮想通貨市場への投資には高いリスクが伴います。ユーザーは独自の調査を行い、投資判断をする前に資産や商品の性質を完全に理解することをお勧めします。Gate.ioはそのような投資判断によって引き起こされる損失や損害について責任を負いません。