インベントリ: 11月には27件以上の典型的なセキュリティインシデントが発生し、全体的なリスク評価は「高」でした

成都聯安の「ブロックチェーンセキュリティ状況認識プラットフォーム」（Beosin-Eagle Eye）によるデータ監視によると、

2020年11月、ブロックチェーン分野ではさまざまなセキュリティインシデントが多発しました。セキュリティインシデントが緩和傾向にあった10月に比べ、今月は状況が悪化している。不完全な統計によると、11月には27件を超える典型的なセキュリティインシデントが発生しました。

今月、特にDeFi分野では、ハッカーたちがまるでリハーサルしたかのように一連のプロトコル「攻撃ドラマ」を上演した。その中で、フラッシュローンの支援を受けた再突入攻撃、オラクル攻撃などの手段は、強力な殺傷力を発揮しました。 11月のDeFi市場は、複数の攻撃が次々と「爆撃」し、巨額の資産損失を引き起こし、「大惨事」を経験したようなものだったと言わざるを得ません。

この間、成都聯安はかつてこれを呼びかけ、短期融資攻撃は単なる名ばかりで、その背後にある真実を無視することはできないと述べた。 DeFi プロジェクトの所有者は、データ危機が取り返しのつかない結果を引き起こすのを防ぐために、オラクル操作の問題に特別な注意を払う必要があります。

そのため、成都連安は、特にプロジェクトがオンラインになる前に、DeFi開発者がオラクルのターゲットテストを強化することを改めて厳粛に推奨しています。価格操作攻撃のさまざまなシナリオを可能な限りシミュレートし、タイムリーに問題を発見して解決策を見つけ、プロジェクトのオラクル攻撃に対する抵抗力を効果的に向上させて、事前にそのようなリスクを回避する必要があります。

取引所では『6件』の典型的なセキュリティインシデントが発生しました

常州市警察龍虎堂警察署は最近、「Roman Coin Exchange」プラットフォームで仮想通貨に投資したユーザーが詐欺に遭ったという報告を受けた。このプラットフォームは、ユーザーがチャットや取引を行える 2 つのアプリをリリースしており、ユーザーは操作が成功するとリベートを受け取ることができます。現在、取引プラットフォームにはアクセスできなくなっています。

ポルカドットの分散型金融プラットフォーム「アクロポリス」が攻撃を受けた。ハッカーはデリバティブ・プラットフォームdYdXのフラッシュローンを利用して再侵入攻撃を仕掛け、200万ドルの損失をもたらした。

泉州市の多くの住民は、デジタル通貨取引で詐欺被害に遭ったと報告した。この事件に関係する取引所はMARK Exchangeと呼ばれています。金額は約25億元で、ポジション管理には約10万人が関与しているとみられる。

11月13日、Liquid取引所でハッキング事件が発生しました。ハッカーは DNS レコードを変更し、多数の社内メールアカウントを制御しました。最終的に、彼らは取引所のインフラストラクチャを部分的に侵害し、保存された文書にアクセスしました。

Pickle Finance の pDAI PickleJar がハッキングされ、19,759,355 DAI が枯渇しました。この攻撃には、多くの Pickle プロトコルコンポーネントも関係しています。

有名なセキュリティブログKrebsOnSecurityは、11月13日頃から、暗号通貨取引プラットフォームLiquid.comを含む、人気のホスティングプロバイダーGodaddyがホストする複数の暗号通貨プラットフォームが攻撃を受けたと報告した。

DeFiでは合計『5』件の典型的なセキュリティインシデントが発生した

TRONメインネットは香港時間11月2日午前6時14分に悪意のある契約による攻撃を受けました。この攻撃では、ハッカーは契約書作成者に与えられた権限を利用して悪意のあるトランザクションを開始し、「スーパー代表者」が利益を上げるためにブロック生成を停止するように仕向けました。

DeFi融資プラットフォームのパーセントファイナンスは11月4日のブログ投稿で、特定の金融市場でユーザーの資金が永久にロックされる可能性がある問題が発生していると書いた。その結果、チームは特に USDC、ETH、WBTC のマネーマーケットを凍結しました。

11月14日、Value DeFiプロトコルのValue DeFi MultiStables金庫がハッカーのオラクル操作による攻撃を受け、最終的に700万ドル以上の損失が発生しました。

Origin ProtocolのステーブルコインOUSDはフラッシュローンの攻撃を受け、0.13ドルまで下落した。それ以来、UniswapにおけるOUSDの流動性は16日の35万ドルから12万ドルに減少した。

Web3分散型APIサービスAPI3のKiyo氏は、DeFi固定レート生成プロトコル88mph（MPH）に脆弱性があり、攻撃者がそれを悪用して10万ドル相当のMPHトークンを発行したようだとツイートした。その後、この脆弱性は修正されました。

Beosin レビュー

今月は、DeFiプロジェクトのセキュリティ問題が懸念されています。これは、合意の中核となる側面に十分な注意が払われていないことに関係している可能性があります。「修復するには遅すぎるということはない。」ハッカーの攻撃は止まらないようです。厳しい安全保障状況に直面して、積極的な予防の精神と行動が重要です。

成都聯安は、安全問題は常に最優先されるべきだと考えています。実際、プロジェクトがオンラインになる前にセキュリティ監査を実施するだけでは十分ではありません。複数の事例から、監査はセキュリティ予防の第一歩に過ぎないことがわかります。

プロジェクト開発プロセス中は、致命的な脆弱性を防ぐために、システムの問題を常に整理する必要があります。そうしないと、ハッカーが社内の担当者よりも早く攻撃を発見した場合、資産のセキュリティが危険にさらされる可能性があります。

詐欺と暗号詐欺の分野では、『5』の典型的なセキュリティインシデントがありました

インドの社交界の名士ハルプリート・シン・サーニ氏は、大規模な仮想通貨詐欺に関与し、PGUCトークンを宣伝しながらオーストラリアの仮想通貨企業の投資家に仮想通貨ソフトウェアを販売していたことを認めた。同社のウェブサイトは頻繁にダウンし、ユーザーが現金を引き出せなくなる。サンヒ氏は懲役約24年を科される可能性がある。

非営利団体の欧州資金回収イニシアチブ（EFRI）は、オランダの銀行INGが過半数を所有する企業であるPayvisionに対して訴訟を起こし、同社が詐欺的な投資スキームを促進し、暗号通貨企業にサービスを提供して、投資家に7,500万ドル以上の損失をもたらしたと主張している。この団体は数百人の被害者を代表して補償を求めている。 EFRIが提供した文書によると、Cryptopoint暗号通貨取引プラットフォームが詐欺に関与している疑いがある。

北京時間11月5日、イーロン・マスクに変装したハッカーがトランプ大統領のツイートに返信し、ユーザーから仮想通貨を詐取した。ハッカーが使用したアカウントはTwitterによって認証されており、ユーザー名は「イーロン・マスク」と表示されていた。彼は大統領選挙の状況を議論するトランプ氏のツイートに反応し、数時間で25万ドル以上を稼いだ。

11月9日、詐欺師は偽のドメイン名を使用して、さまざまなユーザーから約110万XRPを盗みました。これは現在28万ドル以上の価値があります。

11月17日、オーストラリア証券投資委員会（ASIC）は、元ビットコネクトプロモーターのジョン・ルイス・アンソニー・ビガトン氏が、投資家から数百万ドルを詐取したとして告発された暗号通貨プロジェクトへの関与の疑いで起訴されたと発表した。

ランサムウェア/マイニングトロイの木馬分野では、合計『5件』の典型的なセキュリティインシデントが発生しました

11月3日、Tencent Host Security（雲京）は、WebLogicの不正コマンド実行脆弱性（CVE-2020-14882/14883）を悪用したマイニング型トロイの木馬グループz0Minerの攻撃行為を捕捉しました。同グループは、クラウドサーバーのバッチスキャンを通じて、WebLogic の脆弱性を持つマシンに Monero マイニングトロイの木馬が埋め込まれていることを発見しました。

11月初旬、ゲーム大手カプコンは「Ragnar Locker」と呼ばれる組織が開発したランサムウェアの攻撃を受けた。セキュリティ専門家のPancak3lullz氏は、Ragnar LockerがCAPCOMネットワーク上の2,000台のデバイスを暗号化してロックし、ビットコインで1,100万ドルの身代金を要求したと述べた。データには、フォルダー、パスポート、売上報告書、銀行取引明細書、契約書、戦略情報の大規模なデータベースが含まれていました。

イタリアの有名なワイン商カンパリ・グループは11月1日、身代金目的のハッカー攻撃を受けた。同社の重要な文書、契約書、銀行情報が盗まれた。ハッカーらは1500万ドル相当のビットコインを要求した。

ビットコインランサムウェアPay2Keyがイスラエルの複数の企業を攻撃した。被害企業の漏洩データはウェブサイト上の特定のフォルダにアップロードされ、攻撃者がカスタマイズしたメッセージが添えられていたと報じられている。

Weiboユーザーの「BCH愛好家BruceLee」は、BCHAチェーンが現在攻撃を受けていると述べた。攻撃は二面性があり（おそらく同一人物によるもの）、BCHA ネットワークに大量の空ブロックが生成されました。

ダークウェブ上で典型的なセキュリティインシデントが合計『1』件発生

米司法省はダークウェブ「シルクロード」に関連する10億ドル相当のビットコインを押収した。声明によると、押収された仮想通貨はダークウェブ「シルクロード」に関連したもので、これまで米国が押収した仮想通貨としては最大規模だという。当局は声明でX氏と特定したハッカーからビットコインを押収した。

他の地域では合計5件の典型的なセキュリティインシデントが発生しました

11月2日に稼働を開始してからわずか数時間後、Axion Network 契約に鋳造の脆弱性が発見され、50万ドルが盗まれました。彼らは、ユーザーに対して、今すぐにAXNトークンを購入せず、ネットワークのダッシュボードから離れるよう推奨しました。あるツイッターユーザーは、790億AXNが誤って発行され、売却されたと指摘した。

Ledger ウォレット所有者を狙ったフィッシングや詐欺が増加しています。詐欺サイトの 1 つは、被害者から 1,150,000 XRP 以上を受け取りました。この詐欺では、フィッシングメールを使用してユーザーを偽のLedger Webサイトに誘導し、被害者を騙してセキュリティアップデートを装ったマルウェアをダウンロードさせ、Ledgerウォレットの残高を完全に盗み出しました。

Redditによると、「積極的に管理された」悪意のあるノードのグループが、Moneroブロックチェーン上のユーザーに関する情報を取得するために、Sybil攻撃を通じてMoneroネットワークに干渉し、混乱させようとしたという。

Grin のウェブサイトは 11 月 9 日に 51% 攻撃を受けました。未知の組織がネットワークの計算能力の 57% 以上を制御しています。 Grin のウェブサイトによると、チームは人々に「支払いの確定に関する追加の確認」を待つことを推奨している。

最近、Binanceは米国司法省と緊密に協力し、2018年3月にBinanceのウェブサイトへの攻撃に関与したとして2人の個人を告訴した。

ブロックチェーンセキュリティの分野における現在の新たな状況を考えると