2024年の暗号通貨における最悪のハッキングと悪用事例10選

2024年は、サイバーセキュリティの観点から暗号通貨ユーザーと企業にとって引き続き困難な年であり、いくつかの著名なハッキング事件が発生しました。

Chainalysisのデータによると、2024年12月までにハッカーは約22億ドルの暗号通貨を不正に取得しました。これは2023年に盗まれた18億ドルから増加しており、ハッキングの件数が前年比で22%以上増加したことを示しています。

2024年には、DMM Bitcoin、WazirX、BingXのような中央集権型取引所が大規模な攻撃の標的となりました。DeFiプロトコル設計の欠陥も攻撃者の焦点となり、資金を奪うために利用されました。

金融的利益がほとんどの暗号通貨ハッキングの主な動機である一方で、他の要素も寄与しています。例えば、WazirXとRadiant Capitalに関連する事件は、国家が関与した攻撃を示唆しています。

この記事では、2024年の最も注目すべき暗号通貨ハッキング事件を探り、その背後にある理由とハッカーが使用した戦略を分析します。

DMM Bitcoin: 3億ドル

2024年5月、日本の暗号通貨取引所DMM Bitcoinは、その年最大の暗号ハッキング被害を受けました。4,500 BTC以上が失われ、その時点での価値は3億ドルを超えていました。

DMM Bitcoinの攻撃の正確な原因は不明ですが、専門家は盗まれた秘密鍵やアドレスポイズニングなどの潜在的な脆弱性を示唆しています。後者は、攻撃者が被害者のウォレットに少額の暗号通貨を送信し、偽の取引履歴を作成してユーザーを混乱させ、誤ったアドレスに資金を送信させる可能性のある欺瞞的な戦術です。

この事件は史上8番目に大きな暗号盗難であり、2022年11月のFTXの4億7,700万ドルのハッキング以来最大の攻撃でした。

12月、DMM Bitcoinは、2025年3月までに顧客アカウントと保管資産を日本のSBIグループに移管することで合意したと発表しました。

WazirX: 2億3,000万ドル

2024年7月18日、インド最大の暗号通貨取引所の一つであるWazirXは、大規模なハッキングを受け、投資家資金約2億3,000万ドルを失いました。

ハッカーは、複数の署名が取引を承認するために必要なWazirXのマルチシグネチャウォレットを侵害するために洗練された手法を利用しました。WazirXが使用する暗号保管プラットフォームであるLiminalのインターフェース上での取引の表示方法の不一致を利用して、攻撃者は承認された署名者を欺き、悪意のある取引を承認させました。これにより、セキュリティ対策を回避し、取引所の暗号ウォレットを空にすることができました。

専門家は、過去の高プロファイルな暗号強奪に関与したことで悪名高い北朝鮮のハッカーグループ、ラザルスグループが関与していると疑っています。

WazirXは、暗号通貨と法定通貨の引き出しを一時停止するなど、被害を軽減するための措置を直ちに講じました。

ハッキングに関する調査が現在進行中です。

Munchables: 6,200万ドル

2024年3月、Blast Layer 2ブロックチェーン上に構築されたプレイ・トゥ・アーンゲームのMunchablesは、大規模なセキュリティ侵害の被害を受けました。未知の攻撃者がゲームのスマートコントラクトの重大な脆弱性を利用し、6,250万ドル相当の暗号を奪いました。プロジェクトのスマートコントラクトは、開発者に資金を自由に移動する権限を与えており、この能力が悪用されました。

攻撃の核心は、プロジェクトが使用していたアップグレード可能なプロキシコントラクトにありました。このタイプのコントラクトは柔軟性を提供しますが、慎重に扱わないと脆弱性を引き起こす可能性がありますと、HalbornのセキュリティアナリストであるRob Behnkeは説明しました。この場合、悪意のある開発者がスマートコントラクトのデプロイメントアドレスを掌握し、コントラクトのコードを変更する力を得ました。

この特権を利用して、攻撃者は契約に悪意のあるバックドアを巧妙に挿入しました。時間が経つにつれて、彼らは契約に大量のイーサが預けられるのを待ちました。適切な時期に、t

彼らはエクスプロイトを引き起こし、数百万ドル相当の暗号通貨を流出させました。

その後、Munchablesは、開発者がMunchablesの資産を保持するウォレットの秘密鍵を無条件で放棄することに同意し、資産が完全に回復されたと更新しました。攻撃者がなぜそのような行動を取ったのかは完全には明らかではありません。

Daiホエールエクスプロイト：5,500万ドル

8月に、ある暗号通貨ホエールが巧妙なフィッシング攻撃の被害に遭い、5,500万ドル相当のDaiステーブルコインを失いました。

攻撃者は、被害者の暗号ウォレットアカウント（外部所有アカウントとも呼ばれる）にアクセスするための脆弱性を悪用し、Makerプロトコル上のボールトを制御しました。このタイプのボールトは、担保を預けることでDaiステーブルコインを借りることができます。

攻撃者は、侵害されたEOAを利用して、被害者の分散型サービスプロキシ（DSProxy）の所有権を新たに作成した自分のアドレスに移しました。DSProxyは、ユーザーが単一のトランザクションで複数のコントラクト呼び出しを実行できるスマートコントラクトです。

DSProxyは複雑なトランザクションを自動化するためのツールであり、ホエールのデジタルボールトの鍵でした。攻撃者はDSProxyを制御することで、ホエールのMakerボールトを操作する能力を得ました。DSProxyを制御することで、ハッカーはプロトコルの所有者アドレスとして自分を設定し、55,473,618 Daiステーブルコインを自分のウォレットにミントしました。

セキュリティ企業Halbornは、攻撃者がホエールに対してフィッシング攻撃を行い、プロキシの所有権を移すトランザクションに署名させた可能性が高いと説明しました。もう一つの可能性は、フィッシング攻撃がDSProxyを制御するウォレットアカウントの秘密鍵を侵害したことです。

Radiant Capital：5,100万ドル

2024年10月、Radiant Capitalは年内2度目の深刻な攻撃を受け、約5,100万ドルの損失を被りました。

最初の事件はフラッシュローンエクスプロイトで、プロトコルから約450万ドルを奪いました。しかし、この事件は後のより複雑な攻撃に比べると小規模でした。この後の攻撃は、プロトコルのマルチシグネチャメカニズムの欠陥を狙い、非常に高度な戦術を駆使しました。Radiant Capitalは3-of-11のマルチシグ設定を使用しており、重要なトランザクションを承認するために3つの秘密鍵が必要でした。

それにもかかわらず、北朝鮮のLazarusグループと関連があるとされる攻撃者は、このセキュリティ機能を回避しました。攻撃者は署名プロセスを操作し、正当なものに見える悪意のあるトランザクションを承認するよう署名者を欺きました。この操作には、Gnosis Safeウォレットインターフェースに表示されるトランザクションデータを変更する高度なマルウェアが関与していました。対照的に、悪意のあるトランザクションはハードウェアウォレットに転送され、署名と実行が行われました。

攻撃者は通常は正常と見なされるトランザクションの失敗を利用しました。これらの失敗に悪意のあるトランザクションを埋め込むことで、誰にも気づかれずに有効な署名を得ました。

これらの悪意のあるトランザクションが承認されると、攻撃者はRadiantのスマートコントラクトの1つを制御し、さまざまな貸付プールを監督しました。この侵害により、プールコントラクトを悪意のあるバージョンに置き換え、ユーザーの資金にアクセスすることができました。

BingX：4,300万ドル

中央集権型暗号通貨取引所の脆弱性を浮き彫りにするもう一つの衝撃的な事件で、シンガポールに拠点を置くBingXが大規模なセキュリティエクスプロイトの被害に遭いました。この攻撃は2024年9月20日に発生し、取引所のホットウォレットが侵害されました。

BingXはこの事件を「軽微」として軽視しましたが、セキュリティアナリストは総損失を約4,300万ドルと推定しました。盗まれた資金は複数のトランシェで流出し、よく調整された攻撃を示唆しています。

この事件は、2024年を通じて暗号通貨業界を悩ませているCEXハックの不穏な傾向の一部です。この事件では、攻撃者が無許可で

複数のブロックチェーンにアクセスし、多数のエクスプロイトアドレスを使用して多様な暗号通貨を収集しました。その後、これらの盗まれた資金はイーサに変換され、北朝鮮のラザルスグループによく見られる手法です。

Penpie: 2700万ドル

2024年9月、Pendle Finance上で運営されているイールドファーミングプラットフォームであるPenpieプロトコルが侵害され、約2700万ドルの損失が発生しました。

Penpieハックの根本原因は、リエントランシー攻撃として知られる重大な脆弱性でした。この種のエクスプロイトは、悪意のあるアクターがスマートコントラクトの実行フローを操作し、意図しない結果を引き起こすことを可能にします。

Pendle上で欺瞞的な市場を作成することにより、攻撃者はPendleの「標準化されたイールド」トークンの偽バージョンを作成し、それらをPendleの「流動性プロバイダ」トークンにリンクしました。この操作により、攻撃者は脆弱な関数を繰り返し呼び出し、これらの偽造トークンで報酬残高を膨らませることができました。スマートコントラクトは強力な検証メカニズムを欠いており、これらの偽トークンを誤って受け入れ、攻撃者が多額の資金を引き出すことを可能にしました。

攻撃の深刻さにもかかわらず、Penpieチームは攻撃者に対してオリーブの枝を差し出し、盗まれた資金の返還と引き換えに報奨金を提供しました。しかし、攻撃者はこの訴えを無視し、Tornado Cashミキサーを通じて不正な利益を洗浄しました。

UwU Lend: 2000万ドル

2024年6月、分散型貸付プラットフォームであるUwU Lendは、Curve Financeの流動性プールからのリアルタイムデータに依存する価格オラクルの欠陥により、2000万ドルのエクスプロイトを受けました。攻撃者はこの脆弱性を利用し、一連の計算された取引を通じてUSDにペッグされたステーブルコインsUSDEの価格を操作しました。

攻撃は、攻撃者が大規模なフラッシュローンを取得し、これらの資産の大部分をCurveプールでsUSDEに交換し、その価格を大幅に下げることから始まりました。攻撃者はその後、他の暗号通貨を担保として使用して、UwU Lendから過小評価されたsUSDEトークンを大量に借り入れました。その後、攻撃者はCurveプール内で取引を行い、sUSDEの価格を通常に戻し、保有資産の価値を高めました。

攻撃者はこれらのポジションを清算して、最初に借りた暗号通貨を取り戻し、これらはより価値が高くなり、UwU LendにsUSDEを再預入してさらに借り入れ、最終的にイーサで1930万ドルの利益を得ました。この事件は、分散型金融オラクルにおけるスポット価格の使用に関する重大な脆弱性を浮き彫りにしています。

Sonne Finance: 2000万ドル

2024年5月、Optimism Layer 2チェーン上で運営されている分散型貸付プロトコルであるSonne Financeは、Compound v2フォークに由来するシステムの脆弱性により、2000万ドルのエクスプロイトに遭遇しました。この脆弱性は通常、流動性が低い市場や新たに設立された市場におけるプロトコルの設計上の欠陥を標的とします。

SonneのようなCompound v2フォークで新しい市場を作成するには、価格操作を防ぐために初期流動性が必要です。これがないと、市場は攻撃に対して脆弱になります。スマートコントラクトの計算における精度や丸め誤差、特に小数値は操作される可能性があります。

Sonne Financeの場合、攻撃者は空の市場に少量の基礎資産を注入し、基礎資産とそのトークン化された対応物との間の為替レートを大幅に変更しました。

これにより丸め誤差が生じ、Sonne Financeの攻撃者は、最初に預けた以上の基礎資産を引き出すことができ、約2000万ドルの総損失をもたらしました。この事件は、Hundred FinanceやOnyx Protocolのようなプラットフォームでの類似の攻撃で悪用されたCompound v2フォークの再発する問題を浮き彫りにしています。

M2エクスチェンジ: 1400万ドル

10月、UAEに拠点を置くM2暗号通貨取引所がサイバー攻撃の被害に遭い、1370万ドル相当の暗号通貨が盗まれました。

悪意のあるアクターは、取引所のセキュリティシステムの脆弱性を悪用し、アクセスを獲得しました。

インターネットに接続され、頻繁な取引に使用される「ホットウォレット」への不正アクセスが行われました。ハッカーはこれらのウォレットを侵害することで、多額の暗号通貨を引き出すことができました。

事件後、M2はセキュリティ侵害を認め、ユーザーに対して状況が「完全に解決された」と保証しました。しかし、盗まれた資金を回収するのではなく、取引所は自社の資産を使用して顧客の残高を復元することを選びました。