2023年最悪の暗号ハッキングをまとめた記事

ブロックチェーンセキュリティおよび分析会社Certikのレポートによると、今年の第3四半期は暗号通貨の盗難が最も多発した時期で、184件の既知の事例があり、合計で7億ドル近い損失が発生しています。第3四半期だけで、盗まれた金額は第1四半期と第2四半期の合計を上回りました。

この数字は憂慮すべきものですが、昨年の総額35億ドル以上からは減少しています。

スローミストによると、2023年にはこれまでに450件の暗号通貨の盗難が確認されており、イーサリアムやBNBのスマートチェーン上の分散型プロトコルが最もよく狙われています。

多くのブロックチェーンプラットフォームはオープンソースソフトウェアで構築されており、これは透明性とコミュニティーの協力を促進するのに役立つ一方で、不用心な人が悪用できる脆弱性を露呈する可能性もあります。

多くの場合、法的な罰則の執行は最小限であり、事後的に報奨金が支払われる可能性さえあるため、技術的な知識を持つ人がそのスキルを違法な目的で使用する可能性が高くなります。

残念なことに、このような状況は、暗号通貨取引所、プラットフォーム、プロトコル、そして最終的には、セキュリティホールだらけのこれらの攻撃の結果を被るユーザーを、明らかな標的にしています。実際、以下に挙げる盗難事件で盗まれた資金のほとんどは、おそらく回収されることはないでしょう。

それでは、2023年最悪のハッキングをご紹介しましょう。

Kyber Network：5,470万ドル

2023年11月、Kyber Networkに影響を及ぼすセキュリティ事件が発生しました。攻撃者はモビリティに関する脆弱性を悪用し、KyberSwap Elasticから約5,470万ドルを盗むことに成功しました。

この侵害は、Arbitrum、Ethereum、Optimism、Polygonを含む複数のブロックチェーンネットワークにわたるKyberSwapの流動性プールを標的としていました。ハッカーは、新しいトークンの鋳造機能における再突入の脆弱性を悪用したため、資金が大幅に失われ、プラットフォームがロックアウトされました。総価値（TVL）が90％下落。

予想に反して、ハッカーは一連の要求が満たされれば盗まれた資金を返すと申し出ました。

特に、攻撃者はKyber Network, Inc.の完全なコントロールと、チェーン上およびチェーン外の会社資産の完全な引き渡しを要求しました。

ハッカーは、12月10日までに要求を満たすか、条件を無効にするかを要求しました。

Source:Etherscan

攻撃者に屈するのではなく、Kyberの背後にいるチームは、影響を受けたユーザーへの金銭的な助成金を含む補償計画を進めているようです。

Curve：7350万ドル

Curveはハッキングに慣れており、2023年7月、攻撃者は複数のVyper 0.02.15安定コインプールの欠陥再帰ロックを利用して資金を流出させました。ロックは資金を使い果たし、Curveは再び悪用されました。

攻撃の影響を受けた主なプロトコルとプールは、Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis、CRV/ETHプールでした。

事態は好転しており、ハッカーが10％の遡及ホワイトハット報奨金を受け入れた後、盗まれた資金のほとんどがCurve Financeに返還されました。また、複数のホワイトハットハッカーの努力により、MetronomeとAlchemixはそれぞれ600万ドルと1300万ドルを回収しました。MetronomeとAlchemixは、複数のホワイトハットハッカーの努力により、それぞれ600万ドルと1,300万ドルを回収しました。

ハッキングから約2週間後、Curveは、リソースの公平な分配を確実にするために損害を評価した後、まだ影響を受けている人々に補償することを約束しました。

オイラー・ファイナンス：1億9700万ドル

今年3月、オイラー・ファイナンスは1億9700万ドルのハッキングを受けた。ファイナンスは1億9700万ドルのハッキングに見舞われ、暗号通貨シーンにおける今年の最も奇妙な出来事の1つとなった。

攻撃者はオイラーのスマートコントラクトの脆弱性を悪用し、巧妙にフラッシュレンディング攻撃を仕掛けた。こうして攻撃者は、DAI、wBTC、steth、USDCを含むさまざまな暗号通貨1億9700万ドル相当を盗み、プロトコルの資金をほぼ略奪しました。

しかし、オイラー・ファイナンスのチームは攻撃者を追跡し、通信回線を確立することに成功した。これにより、攻撃者は正しいことをするのを思いとどまり、「回復可能なすべての資金」をオイラー・プロトコル保管庫にすぐに戻したようです。

オイラー・チームはその後、償還機能を一般に開放し、ユーザーが攻撃で失った資金を取り戻せるようにしました。オイラー・プロトコルはまだ活動を停止していますが、チームは新しいモジュール式のオープンレンディング・ソリューションの発表が間近に迫っていることをほのめかしています。

ミクシン・ネットワーク：2億ドル

ミクシン・ネットワークは、デジタル資産の効率的なクロスチェーン取引を促進するために設計された分散型ネットワークです。

2023年9月、クラウドベースのサービスに壊滅的な攻撃を受け、約2億ドル相当の顧客資産が盗まれた。この攻撃の直後、ミクシンのネットワークは一時停止されました。

公式発表によると、ミクシンチームはこれらの損失を最小限に抑えるために最善を尽くす予定です。

その後のライブストリームで、Mixin Networkの創設者であるXiaodong Feng氏は、プラットフォームが返金できるのは盗まれた資産の最大50%までで、残りは最終的に「トークン化された賠償請求」によって補填されると述べ、Mixinは将来の利益を使用することを試みている。ミクシィは将来的な利益に充てようとしている。

この規模のハッキングの後にはよくあることだが、ミクシンは当初、ハッカーに対して、残りの資金を返還することを条件に、遡及侵害に対して2000万ドルの報奨金を提示した。残念なことに、攻撃者は盗まれたUSDTがチェーン上で凍結されるのを防ぐために、すでにDAIに変換していたため、これは耳に入らなかった。

Multichain：1億2600万ドル

当時最も人気のあったクロスチェーンブリッジングプロトコルの1つであったMultichainは、2023年7月7日にハッキングされ、1億2600万ドル相当の様々な暗号が盗まれました。1億2600万ドル相当の様々な暗号通貨が盗まれた。

記録上最大の暗号通貨ハッキングの1つであるこの攻撃には、Fantom、Moonriver、Dogechainを含む複数のブロックチェーンネットワークと、さまざまな暗号資産が関与していました。

現在までのところ、ハッキングの根本的な原因は未確定のままですが、ハッカーがMultichainのMPCキーをコントロールした可能性があります。このハッキングは内部犯行（「ラグ・プル」とも呼ばれる）ではないかと疑われています。

この疑惑は、2023年5月にMultichainのCEOであるJun Zhaoが失踪し、その後、チームがプラットフォーム上で必要な技術的メンテナンスを行うことができなかったことが一因となっている。

驚くべきことに、Multichainのフロントエンドは現在も稼働している。

驚くべきことに、Multichainのフロントエンドは現在も稼働している。このプラットフォームを運営するチームは、Multichainのドメインアカウントにアクセスできないため、サイトやサービスを停止することができないと公言しており、サービスの利用を控えるよう警告している。

アトミックウォレット：1億ドル以上

2023年6月、当時人気のあった暗号通貨のセルフホストウォレットであるアトミックウォレットは、大規模なセキュリティ侵害に見舞われました。その結果、約0.1％のユーザーが1億ドル以上の損失を被りました。

悪名高い北朝鮮のハッカー集団Lazarusから発信されたとされるこの攻撃は、一般的にセルフホスティングはサードパーティホスティングよりも安全だと考えられているため、今年最も予期せぬセキュリティインシデントのひとつとなった。

情報漏洩の正確な原因はまだ不明ですが、秘密鍵の生成に使用されたエントロピーの不足（つまり、秘密鍵がブルートフォースで破られる可能性）やサプライチェーン攻撃など、いくつかの可能性が指摘されています。

その余波で、Atomic Walletとその開発元であるAtomic Systems、そしてオーナーのKonstantin Gladych氏に対して、少なくとも3件の訴訟が起こされています。同社は、影響を受けたユーザーを支援する計画について口を閉ざしており、侵害の根本的な原因に関する調査を「複雑」と表現しています。

被害額：4100万ドル

2023年9月、有名な暗号ギャンブルプラットフォームであるStakeは、「計画的な侵入」に見舞われ、Ether全体で侵害が発生しました。「その結果、Ether、Polygon、BNBのスマートチェーンプラットフォーム全体で合計4100万ドルの資産が失われました。

盗まれた資金には、6,001ETH、390万USDT、110万USDC、090万DAIが含まれており、攻撃直後に攻撃者はチェーン全体で資金の移動を開始し、そのほとんどは最終的にネイティブビットコイン（BTC）に変換されました。

この攻撃は、悪名高いハッキンググループLazarusの仕業ではないかと再び疑われていますが、Stakeのホットウォレットの秘密鍵を直接侵害しなかったという点で、他の事件とは異なっていました。Stakeの創設者であるEdward Craven氏によると、ハッカーはStakeの内部取引承認システムにアクセスし、未承認の取引を処理することができたという。

このリストの他の多くの攻撃とは異なり、Stakeの攻撃は顧客の資金に影響を与えませんでした。その代わりに、ハッカーは巨額のボーナスを支払うために設計されたホットウォレットに侵入しました。

結論

非中央集権的な金融セクターである暗号業界には、財政責任を執行する中央集権的な組織がありません。に大きく依存している。

残念なことに、技術に精通した個人を含め、さまざまなハッキングや詐欺の被害に遭う暗号ユーザーがまだ大勢います。