10月の約7倍の被害 - 2023年11月セキュリティレポート

こんにちは！KEKKAIのThomasです。
KEKKAIは今月から、パートナーであるBeosinのEagleEyeの監査データを活用した最新セキュリティ動向についてのマンスリーレポートを日本語に翻訳の上、加筆修正して皆様にお届けします。

被害総額は前月比で690%の大幅増加

2023年11月、ブロックチェーンセキュリティ事故は26件以上発生。
総損失額はなんと3億5653万ドル（約520億円）にも登りました。
これは10月の総損失額の6.9倍に相当します。特に、PoloniexとHTXの大規模な被害が目立ちました。

ハッキングによる損失金額の内訳は、フィッシング詐欺が約$1460万（20億円超）、Rug Pullが約$630万（8.9億円）となっております。
今月はマネーロンダリング事業者の逮捕なども含めて非常に多い月となっておりま。

トップ10のセキュリティ事故

11月ブロックチェーン業界はセキュリティの面で大きな挑戦に直面しました。以下は、この月に発生した10件の主要なハッキング事件の概要となっております。

1. Onyx Protocolの脆弱性による攻撃

• 日付: 11月1日
• 概要: DeFiレンディングプロトコルのOnyx Protocolがコントラクトの不正利用により攻撃され、約210万ドル(約3.1億円)の損失。

2. TrustPadのセキュリティ侵害

• 日付: 11月6日
• 概要: DeFiプロジェクトTrustPadがコントラクトの不正利用により攻撃され、約15万（2100万円超）ドルの損失。

3. MEVロボットへの攻撃

• 日付: 11月7日
• 概要: MEVロボットがハッキングされ、約200万（約3億円）ドルの損失。

4. CoinSpotのセキュリティ侵害

• 日付: 11月9日
• 概要: オーストラリアの暗号通貨取引所「CoinSpot」が攻撃され、約200万（約3億円）ドルの損失。

5. Poloniexのプライベートキー漏洩

• 日付: 11月10日
• 概要: 暗号通貨取引所Poloniexがプライベートキーの漏洩により攻撃され、約1.26億（約180億円）ドルの損失。

6. Raftの脆弱性による攻撃

• 日付: 11月11日
• 概要: ステーブルコインプロトコルRaftがコントラクトの不正利用により攻撃され、約$340万（約5億円）の損失。

7. dYdXの市場価格操作攻撃

• 日付: 11月18日
• 概要: DEXプロジェクトdYdXが市場価格操作による攻撃を受け、約$900万（12億円）の損失。

8. Kronos ResearchのAPIキー不正アクセス

• 日付: 11月18日
• 概要: 暗号量子化会社Kronos ResearchのAPIキーが不正アクセスされ、約$2500万（約36億円）の損失。

9. HTXとHECO Bridgeのセキュリティ侵害

• 日付: 11月22日
• 概要: HTX（元Huobi）及び関連するクロスチェーンブリッジHECO Bridgeが攻撃され、約$1.1億（約160億円）の損失。

10. KyberSwapへの複雑な攻撃

• 日付: 11月22日
• 概要: DEXプロジェクトKyberSwapが攻撃され、約$5470万(77億円)の損失。Kyber Networkは、これがDeFi史上最も複雑な攻撃の一つであると述べています。

ここまでが11月の主要なクリプトの詐欺被害となっております。
補償などがされるケースもかなり増えていますが、事前に防げたものがあると考えますと、プロジェクトサイドのコントラクトの安全性の担保などはあらゆる手段をもって講じるべきですね。

フィッシングとラグプルによる6件の事例

ブロックチェーン業界はフィッシング詐欺とRug Pullの脅威に直面しました。以下は、この月に発生した6件の重要なセキュリティ事件の概要です。

1. 大規模なフィッシング詐欺

• 日付: 11月15日
• 概要: ネットワークフィッシング詐欺により、あるアドレスが340万ドルを失いました。被害者は「increaseAllowance」取引に署名してしまい、資金が盗まれました。

2. BNB Chain上のSAIトークンでのRug Pull

• 日付: 11月23日
• 概要: BNB Chain上のSAIトークンでRug Pullが発生し、開発者が170万ドルの流動性を引き上げました。

3. Inferno Drainerの閉鎖

• 日付: 11月27日
• 概要: 詐欺サービス提供者Inferno Drainerが閉鎖を発表。設立以来、8000万ドル以上を盗んだと自称しています。

4. 個人ウォレットのフィッシング詐欺事件

• 日付: 11月29日
• 概要: ネットワークフィッシング詐欺により、あるアドレスが127万ドルを失いました。被害者は悪意のあるPermit2フィッシング署名に署名してしまいました。

5. Florence Financeへのフィッシング攻撃

• 日付: 11月30日
• 概要: Florence Financeプロジェクトがフィッシング攻撃を受け、約145万ドルの損失を被りました。

6. BNB Chain上のFuding TokenでのRug Pull

• 日付: 11月30日
• 概要: BNB Chain上のFuding TokenプロジェクトでRug Pullが発生し、開発者が約52万ドルを得ました。

マネーロンダリングや仮想通貨関連の犯罪

最後にマネーロンダリング、その他各国の法規制に乗っ取らない事業者、詐欺師集団による犯行についてもまとめました

1. 台湾の大規模な仮想通貨マネーロンダリング業者の逮捕

• 日付: 11月1日
• 概要: 台湾で最大の仮想通貨洗浄業者が逮捕され、1年間で3.2億枚以上のUSDTを取り扱っていました。

2. 中国重慶の仮想通貨洗浄事件

• 日付: 11月2日
• 概要: 中国重慶で約$3.09億（約450億円）の仮想通貨マネーロンダリング事件が解決。21人が有罪判決を受けました。

3. 米国の麻薬取引団体による暗号通貨の押収

• 日付: 11月3日
• 概要: 米国司法省が麻薬取引団体から$5400万（約80億円）相当の暗号通貨を押収しました。

4. インドでの暗号通貨詐欺事件

• 日付: 11月7日
• 概要: インド、ヒマチャル プラデシュ州警察が$3億（約450億円）相当の暗号通貨詐欺事件で8人を再逮捕しました。

5. 韓国での暗号通貨詐欺事件

• 日付: 11月8日
• 概要: 韓国济州警察が暗号通貨詐欺の疑いで38人を逮捕し、涉案資金は1,014億韓元（約7755万ドル）に達しました。

6. 米国での銀行詐欺と暗号通貨洗浄計画

• 日付: 11月16日
• 概要: 米国で銀行詐欺と暗号通貨マネーロンダリングに関与した3人が逮捕され、罰金は1000万ドルでした。

7. Tetherによる資金の凍結

• 日付: 11月20日
• 概要: Tetherが国際犯罪集団に関連する2.25億枚のUSDT（337億円相当）を凍結しました。これらの資金は、東南アジアの国際人身売買集団に関連し、ロマンス詐欺に関与しているとされています。

8. 中国武漢の仮想通貨洗浄団体の摘発

• 日付: 11月21日
• 概要: 中国武漢警察が仮想通貨洗浄団体を摘発し、罰金は約1.41億ドル（211億円）に達しました。

9. 香港での仮想資産取引プラットフォームHOUNAX事件

• 日付: 11月28日
• 概要: 香港警察が仮想資産取引プラットフォームHOUNAXに関する145件の報告を受け、罰金は約1895万ドル（約28億円）でした。

10. Sinbadの米国財務省による制裁

• 日付: 11月30日
• 概要: 仮想通貨のミキシングサービスプラットフォームSinbadが朝鲜のハッカーとの関連で米国財務省により制裁を受けました。
  SinbadはHorizon BridgeとAxie Infinityのハッキングからの資金を処理し、制裁回避、麻薬取引、児童性虐待のビデオなどの売買、ブラックマーケットでのその他の違法取引に関連する資金の移動に関与していたとされています。

まとめ

• 取引所（CEXとDEX）は、特に私鍵の管理と定期的なセキュリティ監査に注意を払い、費用や手間を惜しまずにセキュリティ関連のチェックを怠らないこと
• フィッシングサイトによる被害もマーケットのボラティリティと共に拡大、プライベートキーの安全な保管と、署名前の慎重なチェックが必要です。
• KEKKAIやその他のセキュリティ関連のツールダウンロード状況について再度チェックをして、ご自身のウォレットや署名の安全性について考えてみてください