2023年の暗号通貨ハッキングと脆弱性悪用トップ10 ラウンドアップ

著者：Vishal Chawla, The Block; Compiled by Pine Snow, Golden Finance

何年もの間、暗号業界はハッカーやプロトコルの脆弱性に悩まされてきました。

この傾向は2023年まで続きます。しかし、良いニュースもあります。ハッキングは前年比で50%以上減少しています。

TRM Labsのデータによると、今年ハッカーに盗まれた暗号通貨の資金額は17億ドルと推定され、2022年に記録された40億ドルの半分以下です。 全体的な損失の減少にもかかわらず、依然として多額の資金が個々のプロジェクトから盗まれています。

今年は、Multichain、Euler Finance、Mixin Network、Atomic Walletなど、知名度の高い事業体に影響を与えるハッキングが相次ぎました。

そして11月には、トロンの創設者であるジャスティン・サンに関連する3つの暗号プロジェクト（Poloniex、HTX、Heco Bridge）が、合計2億ドル以上を失いました。2億ドル以上を失った。

これらの事件の多くで繰り返される問題は、犯罪者がユーザーの資金にアクセスできるようにする秘密鍵の脆弱性です。 1年を通して、北朝鮮のハッキンググループLazarusは複数の攻撃を行い、合計で3億ドル以上の損失をもたらしました。

この記事では、今年最大の暗号通貨盗難について掘り下げ、影響を受けたプロジェクトと各攻撃の要因を検証します。

Mixin Network - 2億ドル

香港を拠点とする暗号プロジェクトMixin Networkは、今年最大の暗号侵害攻撃を受けました。攻撃を受けました。

9月23日、ハッカーがユーザーのホットウォレットから2億ドルという途方もない額を盗んだため、同社は突然業務を停止せざるを得なくなりました。

ミクシンは「クラウドサービスプロバイダーのデータベースがハッキングされた」と報告した。 同社はそれ以上の説明を行いませんでしたが、アナリストは、影響を受けたデータベースは、ユーザーのアカウントの秘密鍵、つまりユーザーが保有する暗号通貨のロックを解除するためのニーモニックフレーズを保持している可能性があると見ています。

Euler Finance - 1億9700万ドル

2023年3月の融資プロトコルEulerへの攻撃ほど、DeFiの大胆さと脆弱性を鮮明に例証する出来事はほとんどありません。 1億9700万ドル相当の暗号通貨が奇妙なトリックで消えたときです。

犯人は誰だったのか？ ハッカーが、オイラーが発行する安定コインであるeDAIとdDAIの交換レートを操作することで、貸し出しプロトコルの脆弱性を突いたのです。 DAIを使用して「donateToReserves」関数を繰り返し呼び出すことで、攻撃者はeDAI/dDAIレートを膨らませることができました。

彼らはフラッシュローン（同じイーサリアム取引で返済されるローン）を使って、両方のトークンを保有する流動性プールのバランスを崩しました。 これにより、dDAI建ての借り手のポジションが清算され、契約から資金が吸い上げられました。

しかし、話はこれで終わりません。 その後、攻撃者は「ホワイトハット」として知られる動きを行い、盗まれた資金を返却しました。 戦利品のごく一部を除いた懸賞金のほぼ全額がチームに返還され、被害者を救済した。

Multichain - 1億2500万ドル

7月、クロスチェーンブリッジのMultichainが、それがサポートする異なるブロックチェーン上で1億2500万ドル相当の暗号通貨を搾取されたと報告され、Fantomが最大の資金を受け取りました。 これは、ブリッジが「不測の事態による複数の問題」によって停止された直後に起こった。

現在に至るまで、決定的な事後調査が行われていないため、ハッキングの正確な原因は不明のままだ。

セキュリティ企業のハルボーン（Halborn）が説明するように、考えられる要因の1つは、ブリッジスマートコントラクトの秘密鍵が、コードのバグを悪用したハッカーによって侵害されたことを示唆しています。

ハッキングに先立ち、Multichainの最高経営責任者であるZhao Jun氏が行方不明になったことで、チーム自体が事件に関与しているのではないかという懸念が高まっている。

事件の前、彼は中国当局に逮捕され、Multichainが以前主張していた分散化と矛盾する、プロトコルの資金を独占的に管理していたことが明らかになった。 Multichainはもはや運営されていない。

Poloniex - 1億2000万ドル

2023年11月、北朝鮮のLazarus Groupと疑われるハッカーが、Poloniexのホットウォレットから驚くべき金額を盗みました。ホットウォレットから1億2000万ドルという驚異的な金額を盗み出しました。

直後の余波は予想通りのもので、取引と引き出しが停止しました。 取引所は、影響を受けたユーザーに補償すると述べた。 Poloniexは2014年から中央集権的な取引所として運営されており、tronの創設者であるJustin Sun氏は2019年にこの取引所を買収しました。

2023年6月、暗号ウォレットアプリ「Atomic」のユーザーのウォレット口座が空になった。 ハッカーは約5500人のユーザーから1億ドル以上の資産を盗んだ。 アトミックはまだ説明を行っていないため、事件の背後にある主な理由は不明のままだ。

この情報漏洩は、事件の1年前にLeast Authority社のセキュリティアナリストが指摘したコードの脆弱性が原因ではないかと疑われている。 また、Slow Fog社のアナリストも潜在的な問題を指摘しています。

オンチェーン分析会社であるEllipticは、攻撃対象となった5,500以上のウォレットを追跡し、北朝鮮のハッカー団体であるLazarus Groupが攻撃の背後にいたと述べています。

8月、ロシアの被害者グループは、ユーザー資産の保護を怠ったとして、Atomicを運営する会社に対して集団訴訟を起こしました。 数カ月後、同社は米国の裁判所に訴訟の却下を求める申し立てで応じました。

Heco Bridge、HTX - 9900万ドル

11月、HTX取引所によって構築されたブロックチェーン、Hecoのメインクロスチェーンブリッジで大規模な侵害が発生しました。 犯罪者はクロスチェーンブリッジのメインスマートコントラクトまたはオペレーターアカウントをコントロールし、さまざまな暗号通貨で8600万ドル以上の盗難につながりました。

初期の分析では、侵入者はクロスチェーンブリッジのスマートコントラクトコードを操作し、そのセキュリティプロトコルを回避したことが示唆されています。 この操作により、ハッカーは（ブリッジ契約を通じて）未承認のトークンを鋳造し、それがイーサと交換され、その後クロスリンクブリッジから送金されました。

HTX（旧Firecoin）のホットウォレットも1200万ドルを失いました。 HTXのコンサルタントでトロンの創設者であるジャスティン・サンは、ホワイトハット報奨金が攻撃者に提供されたと述べた。 この申し出は受け入れられたようで、プラットフォームは（盗まれた1200万ドルのうち）800万ドルを取り戻しました。

Curve - 7300万ドル

7月、DeFi最大の分散型取引所の1つであるCurve Financeが攻撃を受けました。 使用しているVyperプログラミング言語の脆弱性により、プラットフォーム上の複数の流動性プールが悪用され、ハッカーはさまざまな暗号資産で約7,300万ドルを盗むことに成功しました。

このセキュリティ上の欠陥により、攻撃者はスマートコントラクトのロジックを使って悪意を持って資金を流出させることができました。 これには、ハッカーがスマートコントラクトを操作して資金を連続して引き出すリエントリー攻撃が関係していました。

Vyper内のリエントリーガードの誤作動が攻撃につながりました。 Curveファクトリープール上に構築されたプロジェクト（JPEG'd、Metronome、Alchemixなど）が影響を受けました。

Curveチームは脆弱性を迅速に修正し、最終的に約5,000万ドル（盗まれた資金の70%）を回収し、多くのユーザーと利害関係者の懸念を和らげました。 回収された資金は、関与した倫理的ハッカーによって直接返還されるか、c0ffeebabe.ethのようなMEVボット運営者の助けを借りて保存されました。

CoinEx - 5500万ドル

9月、香港に本社を置く集中型の暗号通貨取引所であるCoinExは、大規模なハッキングを報告しました。 ハッカーは、即時取引用に設計された取引所のホットウォレットに侵入し、さまざまな暗号通貨で5500万ドル以上を持ち逃げしました。

北朝鮮のグループ「Lazarus」が事件に関与した疑いが再び浮上。 捜査当局は、CoinExのハッキングと、ベッティング・プラットフォームのStake.comから盗まれた別の盗難との間に関連性を発見しました。 分析によると、Stake.comから盗まれた資金を受け取ったウォレットアドレスは、CoinExのハッカーのウォレットと直接やりとりしていた。

KyberSwap - 5,400万ドル

分散型取引所（DEX）アグリゲーターのKyberSwapは、Elasticプラットフォームへの攻撃によって悪用され、約5,400万ドルの暗号通貨を盗みました。5,400万ドルの暗号通貨が盗まれました。

11月22日の攻撃は、Kyberの集中流動性プールの規模間隔境界の脆弱性に端を発し、犯罪者が流動性を人為的に2倍にし、その価値を流出させることを可能にしました。

交渉の試みとして、Kyberは資金返還と引き換えにハッカーに10%のホワイトハット報奨金を提示しました。 しかし、ハッカーは懸賞金を受け取ることに興味を示さず、チームがプロジェクトを完全にコントロールすることを要求するなど、奇妙なオンチェーンメッセージで他の要求を行いました。

チームは別途、第三者のMEVボットによって不正流用された470万ドルの資金を回収しました。

Stake.com - 4100万ドル

暗号通貨ベースのゲームプラットフォームStake.comは、ウォレットの秘密鍵悪用の可能性の被害に遭いました。 2023年9月4日、推定4100万ドル相当の暗号通貨がプラットフォームから盗まれました。

報告書の中でFBIは、Stake.comから盗まれた資金を受け取ったEther、BNB Chain、Polygonネットワーク上のアドレスの分析に基づいて、この攻撃をLazarusのせいにしました

。