Beosin 年次報告書: 2023 年の Web3 ブロックチェーンのセキュリティ状況と暗号化業界の監督政策
原作者: Beosin 研究チーム Mario、Tian Daxia Donny
元のソース:Beosin
序文
この調査レポートは、Blockchain Security Alliance によって開始され、同盟メンバーの Beosin、Web3 Xiaolu、Elven が共同作成したこの団体は、2023 年の世界のブロックチェーン セキュリティ状況と暗号化業界の主要な規制政策を包括的に調査することを目的としています。このレポートは、世界的なブロックチェーンセキュリティの現状の分析と評価を通じて、現在のセキュリティの課題と脅威を明らかにし、解決策とベストプラクティスを提供します。同時に、このレポートでは、読者が規制環境の動的な変化と考えられる影響を理解できるように、暗号化業界の規制に関する各国政府および規制当局の立場と政策の方向性も調査します。
このレポートを通じて、読者は、Web3 ブロックチェーンのセキュリティ状況のダイナミックな進化と規制政策の中核をより包括的に理解できるようになります。これは、読者がブロックチェーン分野が直面するセキュリティ課題を評価して対応し、規制要件を遵守しながら業界の持続可能な発展を促進するのに役立ちます。さらに、読者は、セキュリティ対策、コンプライアンス要件、業界発展の方向性に関するレポートから有益な提案を得ることができ、この新興分野で情報に基づいた意思決定と行動を行うのに役立ちます。ブロックチェーンのセキュリティと監視は、Web3 時代の発展にとって重要な問題です。綿密な調査と議論を通じて、これらの課題をよりよく理解して対応し、ブロックチェーン技術のセキュリティと持続可能な開発を促進することができます。
1. 2023年のWeb3ブロックチェーンセキュリティ情勢の概要
ブロックチェーンセキュリティ監査会社BeosinのEagleEyeプラットフォームによるモニタリングによると、2023 年、Web3 分野におけるハッカー攻撃、フィッシング詐欺、プロジェクト関係者のラグ プルによる損失総額は 20 億 2000 万米ドルに達しました。このうち、攻撃は 191 件で総額約 13 億 9,700 万ドル、プロジェクト関係者が関与したラグ プル事件は 267 件で総額約 3 億 8,800 万ドル、フィッシング詐欺は総額約 2 億 3,800 万ドルでした。
2023 年には、ハッカー攻撃、フィッシング詐欺、プロジェクト パーティーのラグ プル事件はすべて 2022 年と比べて大幅に減少し、総額は 53.9% 減少しました。このうちハッカー攻撃が最も減少し、2022年の36億米ドルから2023年には13億9,700万米ドルとなり、約61.2%減少した。フィッシング詐欺による損失は 2022 年と比較して 33.2% 減少し、ラグプルによる損失は 2022 年と比較して 8.8% 減少しました。
2023 年には、損失が 1 億米ドルを超える攻撃が 4 件あり、損失が 1,000 万米ドルから 1 億米ドルの範囲の攻撃が 17 件ありました。上位 10 位のセキュリティ インシデントによる損失総額は約 10 億米ドルで、年間攻撃インシデント総額の 71.5% を占めます。
2023 年に攻撃されるプロジェクトの種類は、2022 年よりも広範囲になるでしょう。DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレット、支払いプラットフォーム、ギャンブルプラットフォーム、暗号化ブローカー、インフラストラクチャ、パスワードマネージャー、開発ツール、MEVロボット、TGロボット、その他多くの種類が含まれます。DeFi は最も攻撃頻度が高く、損失額も最も大きいプロジェクトの種類であり、130 件の DeFi 攻撃により、総額約 4 億 800 万米ドルの損失が発生しました。
2023 年に攻撃がより頻繁に発生するパブリック チェーンのタイプは、複数のチェーンで盗難に関わるセキュリティインシデントが複数発生しています。イーサリアムは依然として損失額が最も多いパブリックチェーンであり、イーサリアムに対する71件の攻撃により7億6,600万米ドルの損失が発生し、年間損失総額の54.9%を占めた。
攻撃手法の観点から見ると、30件の秘密鍵漏洩事件による被害総額は約6億2,700万ドルで、被害総額の44.9%を占め、最も多くの被害をもたらした攻撃手法となっている。最も頻繁に発生する攻撃手法は契約上の脆弱性悪用であり、191 件の攻撃のうち 99 件が契約上の脆弱性悪用によるもので、51.8% を占めました。
年間を通じて盗まれた資金のうち約2億9,500万米ドルが回収され、その割合は約21.1%で、2022年から大幅に増加しました。年間を通じて約 3 億 3,000 万ドルの盗難資金がコイン ミキサーに送金され、盗難資金総額の 23.6% を占めました。
オンチェーンのハッキング攻撃、フィッシング詐欺、プロジェクト Rug Pull の金額の大幅な減少とは異なり、オフチェーン暗号化分野の犯罪データは 2023 年に大幅に増加すると予想されます。 2023 年、世界の暗号化業界における犯罪額は 656 億 8,800 万米ドルという驚異的な額に達し、2022 年の 137 億 6,000 万米ドルから約 377% 増加しました。多額の犯罪が関与する犯罪のトップ 3 は、オンライン ギャンブル、マネーロンダリング、詐欺です。
2. 2023 年の Web3 エコシステムにおけるセキュリティ イベント トップ 10
2023 年には、Mixin Network (2 億米ドル)、Euler Finance (1 億 9,700 万米ドル)、Poloniex (1 億 2,600 万米ドル)、HTX Heco Bridge (1 億 1,000 万米ドル) の 4 件の攻撃が発生し、損失額が 1 億米ドルを超えました。上位 10 位のセキュリティ インシデントによる損失総額は約 10 億米ドルで、年間攻撃インシデント総額の 71.5% を占めます。
No.1 Mixin Network
損失額:2億ドル
攻撃手法:クラウドサービスプロバイダーのデータベース攻撃
9 月 23 日の早朝、Mixin Network クラウド サービス プロバイダーのデータベースがハッカーによって攻撃され、メイン ネットワーク上の資産の一部が失われ、約 2 億米ドルが失われました。 9月25日、Mixinの創設者は生放送で事件について公に説明し、被害を受けた資産は主にビットコインのコア資産であり、BOXやXINなどの資産は深刻に盗まれたわけではないと述べたが、具体的な攻撃状況はまだ明らかにできない。
No.2 Euler Finance
損失額:1億9,700万ドル
攻撃方法: 契約の脆弱性 - ビジネス ロジックの問題
3月13日、DeFi融資プロトコルのオイラー・ファイナンスが攻撃され、約1億9,700万米ドルの損失が発生した。攻撃の根本原因は、ユーザーが実際に保有するトークンの数と寄付後のユーザーの台帳の健全性を契約が適切にチェックしなかったことにあった。この事件で盗まれた資金はすべて攻撃者によって返還されました。
No.3 Poloniex./a>
No.4 HTX & Heco Bridge
損失額:1億1000万ドル
攻撃手法:秘密鍵漏洩
11月22日、Justin Sun氏の取引所HTXとクロスチェーンブリッジのHeco Bridgeがハッカーに攻撃され、総額1億1,000万米ドルの損失が発生し、そのうちHeco Bridgeは8,660万米ドル、HTXは約2,340万米ドルを失った。
No.5 Curve/ Vyper
損失額:7,300万ドル
攻撃方法: コントラクトの脆弱性 - リエントランシー
7 月 31 日の早朝、イーサリアム プログラミング言語 Vyper は、Vyper バージョン 0.2.15、0.2.16、および 0.3.0 には再入ロックの脆弱性があり、ネイティブ ETH は転送中にコールバックを調整できるため、これらのいくつかの lp プールに問題が発生するとツイートしました。 ETH グループは再入可能によって攻撃される可能性があります。その後、Curveの公式Twitterは、Vyper 0.2.15を使用する多くのステーブルコインプール(alETH/msETH/pETH)がリエントリーロックの失敗により攻撃されたと投稿しました。この事件による損失は約7,300万米ドルでした。
No.6 CoinEx
損失額:7,000万ドル
攻撃手法:秘密鍵漏洩/APT攻撃
9月12日、仮想通貨取引所CoinEXは、プラットフォームの取引資産を一時的に保管するために使用されるホットウォレットで不審な大規模出金行為がリスク管理システムによって検出され、介入するために直ちに特別チームが設立されたとの声明を発表した。事件にはETH、TRON、Polygonなどのトークン資産が関与しており、盗まれた金額は約7,000万米ドルに上った。
No.7 Atomic Wallet
損失額:6,700万ドル
攻撃手法:秘密鍵漏洩/APT攻撃
Beosin の EagleEye セキュリティ リスク監視、早期警告、およびブロック プラットフォーム監視により、Atomic Wallet が 6 月初旬に攻撃されたことが示されました。Beosin チームの統計によると、チェーン上の既知の被害者報告情報に基づいて、この攻撃によって引き起こされた損失は少なくとも約6,700万米ドルです。
No.8 Alphapo
損失額:6,000万ドル
攻撃手法:秘密鍵漏洩/APT攻撃
7月23日、仮想通貨決済サービス会社アルファポのホットウォレットが盗まれ、総額6,000万ドルの損失が発生した。この事件は北朝鮮のハッカー集団「ラザラス」によって実行された。
No.9 KyberSwap
損失額:5,470万ドル
攻撃方法: 契約の脆弱性 - ビジネス ロジックの問題
11 月 22 日、DEX プロジェクト KyberSwap が攻撃され、総額約 5,470 万ドルの損失が発生しました。 Kyber Networkは、このハッキング攻撃はDeFi史上最も複雑な攻撃の1つであり、攻撃者が脆弱性を悪用するには一連の正確なオンチェーン操作を実行する必要があると述べた。
No.10 Stake.com
損失額:4,130万ドル
攻撃手法:秘密鍵漏洩/APT攻撃
9月4日、仮想通貨ギャンブルプラットフォームStake.comがハッカー攻撃を受けた。攻撃後、Stake.comは、同社のETHとBSCのホットウォレットで不正な取引が発生しており、調査中であり、ウォレットの安全性が完全に再確保され次第、入出金を再開すると発表した。この事件は北朝鮮のハッカー集団「ラザラス」によって実行された。
3. 攻撃されたプロジェクトの種類
2022 年と比較して、2023 年に攻撃されるプロジェクトの種類はより広範囲にわたり、損失額は特定のプロジェクトの種類に集中しなくなりました。 DeFi、CEX、DEX、パブリック チェーン、クロスチェーン ブリッジ、ウォレットなどの一般的なタイプに加えて、2023 年のハッカー攻撃は、決済プラットフォーム、ギャンブル プラットフォーム、暗号ブローカー、インフラストラクチャ、パスワード マネージャー、開発ツール、およびMEV ロボット、TG ロボット、その他のプロジェクト タイプ。
2023 年に発生した 191 件の攻撃のうち、DeFiプロジェクトは130回(約68%)を占め、最も攻撃されたプロジェクトの種類となった。DeFi攻撃による損失総額は約4億800万米ドルで、全損失の29.2%を占め、最も損失が大きいプロジェクトの種類でもある。
2番目に損失が大きかったのはCEX(集中取引所)で、9件の攻撃により総額2億7,500万ドルの損失が発生した。また、DEX(分散型取引所)型の攻撃も16件発生し、総額約8,568万ドルの損失が発生した。まとめると、取引所の種類は 2023 年にセキュリティインシデントが頻繁に発生することになり、取引所のセキュリティは DeFi セキュリティに次いで 2 番目に大きな課題となります。
損失額が3番目に大きいのはパブリックチェーンです。損失額は約 2 億 800 万ドルで、主に Mixin Network の 2 億ドルの盗難によるものです。
2023 年、クロスチェーンブリッジの損失は第 4 位にランクされ、全損失の約 7% を占めました。2022 年には、12 件のクロスチェーンブリッジのセキュリティインシデントにより、総額約 18 億 9,000 万米ドルの損失が発生し、同年の損失総額の 52.5% を占めました。 2023 年にはクロスチェーンブリッジのセキュリティインシデントが大幅に減少します。
5位は暗号通貨決済プラットフォームです。2 件のセキュリティ インシデント (Alphapo と CoinsPaid) により、合計約 9,730 万ドルの損失が発生しており、両方の事件の背後にあるハッカーは、北朝鮮の APT 組織 Lazarus を指摘しています。
4. 各チェーンの損失額
2022 年と比較して、2023 年に攻撃が発生したパブリック チェーンの種類もより広範囲にわたっています。これは主に、2023 年に複数の CEX 秘密キーの漏洩が発生し、複数のチェーンで損失が発生したという事実によるものです。損失額トップ5はイーサリアム、ミックスイン、HECO、BNBチェーン、TRON、攻撃イベント数トップ5はBNBチェーン、イーサリアム、アービトラム、ポリゴン、オプティミズム、アバランチ(同率5位) )。
2022年と同様に、イーサリアムは依然として損失が最も大きいパブリックチェーンです。イーサリアムに対する 71 件の攻撃により、7 億 6,600 万ドルの損失が発生し、年間損失総額の 54.9% を占めました。
Mixin チェーン損失は 2 位にランクされ、単一のセキュリティ インシデントによる損失は 2 億米ドルに達しました。 3 位は HECO で、損失額は約 9,260 万ドルでした。
BNBチェーンに対する攻撃は76件あり、攻撃総数の39.8%を占め、全チェーンプラットフォームの中で最も多い攻撃数となっている。 BNB チェーンの損失総額は約 7,081 万米ドルで、イベントの大部分 (88%) は 100 万米ドル未満に集中しています。
5. 攻撃手法の分析
2022 年と比較して、2023 年の攻撃手法はより多様になり、特に次のようなさまざまな Web2 攻撃手法が追加されます。データベース攻撃、サプライチェーン攻撃、サードパーティサービスプロバイダー攻撃、中間者攻撃、DNS攻撃、フロントエンド攻撃など。
2023 年には 30 件の秘密鍵漏洩事件により総額 6 億 2,700 万ドルの損失が発生し、損失総額の 44.9% を占め、最も多くの損失を引き起こした攻撃手法となっています。多額の損失を引き起こした秘密鍵の漏洩には、Poloniex (1 億 2,600 万米ドル)、HTX Heco Bridge (1 億 1,000 万米ドル)、CoinEx (7,000 万米ドル)、Atomic Wallet (6,700 万米ドル)、および Alphapo (6,000 万米ドル) が含まれます。これらの事件のほとんどは北朝鮮のAPT組織「Lazarus」に関連している。
最も頻繁に発生する攻撃手法は契約上の脆弱性悪用であり、191 件の攻撃のうち 99 件が契約上の脆弱性悪用によるもので、51.8% を占めました。契約の抜け穴による損失総額は4億3000万ドルで、損失額では第2位となった。
脆弱性別に分類すると、最も頻繁に発生し、最も多くの損失を引き起こしているのはビジネス ロジックの脆弱性であり、契約上の脆弱性インシデントにおける損失の約 72.7% はビジネス ロジックの脆弱性によるものです。損失総額は約3億1,300万米ドルとなった。損失額が 2 番目に多い契約の脆弱性はリエントラントであり、13 件のリエントラントの脆弱性により約 9,347 万米ドルの損失が発生しています。
6. 典型的なケースにおける攻撃手法の分析
6.1 オイラー・ファイナンスのセキュリティ・インシデント
イベント概要
3月13日、イーサリアムチェーン上の融資プロジェクトであるオイラー・ファイナンスがフラッシュローン攻撃を受け、1億9,700万米ドルの損失を出した。
3 月 16 日、オイラー財団は、ハッカーの逮捕と盗まれた資金の返還につながる情報に対して 100 万ドルの賞金を提供しました。
3 月 17 日、Euler Labs の CEO、Michael Bentley 氏は、Euler は「常にセキュリティを意識したプロジェクトだった」とツイートしました。 2021年5月から2022年9月まで、Euler FinanceはHalborn、Solidified、ZK Labs、Certora、Sherlock、Omnisicaを含むブロックチェーンセキュリティ企業6社による10回の監査を受けた。
3月18日から4月4日にかけて、攻撃者は次々と資金を返還し始めた。この間、襲撃者はチェーン上のメッセージを通じて「他人の金銭、他人の仕事、他人の生活を妨害した」と謝罪し、全員に許しを求めた。
4月4日、Euler Labsは、攻撃者が交渉に成功した後、盗まれた資金をすべて返還したとツイートした。
脆弱性分析
この攻撃では、Etoken コントラクトの donateToReserves 関数が、ユーザーが実際に保有するトークンの数と、寄付後のユーザーの台帳の健全性状態を正しくチェックしませんでした。攻撃者はこの脆弱性を悪用して 1 億 eDAI を寄付しましたが、実際には攻撃者がステーキングしたのは 3,000 万 DAI だけでした。
寄付後、ユーザーの台帳の健康状態が清算条件を満たしているため、ローン契約が清算のトリガーとなります。清算プロセス中に、eDAI と dDAI は清算契約に移管されます。ただし、不良債権額が非常に大きいため、清算契約により清算割引の上限が適用されます。清算後の清算契約には、3 億 1,093 万 eDAI と 2 億 5,931 万 dDAI が含まれます。
この時点で、ユーザーの台帳の健全性は回復し、ユーザーは資金を引き出すことができます。出金できる金額はeDAIとdDAIの差額となります。しかし、実際にはプールには 3,890 万 DAI しかないため、ユーザーはこの金額しか引き出すことができません。
6.2 Vyper/Curve セキュリティ インシデント
イベント概要
7月31日、イーサリアムプログラミング言語Vyperは、Vyperバージョン0.2.15、0.2.16、0.3.0には再入ロックの脆弱性があるとツイートした。 Curveは、Vyper 0.2.15を使用する複数のステーブルコインプール(CRV/alETH/msETH/pETH)が攻撃を受け、損失総額は7,300万米ドルに達し、その後ハッカーによって約5,230万米ドルが返還されたと述べた。
脆弱性分析
この攻撃は主に Vyper 0.2.15 の再入防止ロックの失敗によって引き起こされ、攻撃者が流動性を削除するために関連する流動性プールの Remove_liquidity 関数を呼び出すと、add_liquidity 関数を再入力することで流動性を追加します。リエントリー中に add_liquidity 関数が実行されず、価格計算でエラーが発生します。
7. 典型的なマネーロンダリング対策事件の分析とレビュー
7.1 アトミックウォレットウォレット盗難事件
Beosin の EagleEye セキュリティ リスク監視、早期警告、ブロック プラットフォームによると、Atomic Wallet は今年 6 月初旬に攻撃されました。Beosin チームの統計によると、チェーン上の既知の被害者報告情報に基づくと、この攻撃により、次のような損失が発生しました。最低でも約6,700元、1万米ドル。
Beosinチームの分析によると、これまでにBTC、ETH、TRXを含む合計21のチェーンがこの盗難事件に関与している。盗まれた資金は主にイーサリアムチェーンに集中していた。で:
イーサリアムチェーンは、盗まれた資金が16,262 ETH相当の仮想通貨、約3,000万ドルであると特定した。
TRON Chain の既知の盗まれた資金は 251335387.3208 TRX 相当の仮想通貨で、これは約 1,700 万米ドルに相当します。
BTC チェーンの既知の盗難資金は 420.882 BTC 相当の仮想通貨で、これは 1,260 万ドルに相当します。
BSC チェーン BSC チェーンの既知の盗まれた資金は、40.206,266 BNB 相当の仮想通貨です。
チェーンの残りの部分
イーサリアムチェーンにおけるマネーロンダリングの例を見てみましょう
ハッカーが盗んだお金を操作する場合、イーサリアムは主に 2 つの攻撃方法で攻撃されます。
契約を通じて分散させた後、Avalancheを使用してクロスチェーンマネーロンダリングを行う
Beosinチームの分析によると、ハッカーはまずウォレット内の貴重なコインをパブリックチェーンの主要通貨に交換し、次に2つの契約を通じてそれらを集約します。
コントラクト アドレスは、2 層の転送を通じて ETH を WETH にパッケージ化し、次に WETH を ETH の分散に使用されるコントラクトに転送し、クロスチェーン操作のための最大 5 層の転送を通じて Cross Bridge の Avalanche のウォレット アドレスに転送します。チェーン トランザクションはコントラクトを使用せず、Avalanche の内部会計トランザクション タイプに属します。
イーサリアムのリンク図は次のとおりです。
収束約1:
0xe07e2153542eb4b768b4d73081143c90d25f1d58 には合計 3357.0201 ETH が関与しました
WETH に変更し、契約 0x3c3ed2597b140f31241281523952e936037cbed3 に移行します
盗品販売ルートの詳細地図は以下の通り。
集計 2: 0x7417b428f597648d1472945ff434c395cca73245 には合計 3009.8874 ETH が含まれていました
ハッカーは WETH に変更し、コントラクト 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0 に転送しました。
盗品販売ルートの詳細地図は以下の通り。
2 つのアグリゲーション契約は料金の源泉に同意することで確認されており、トランザクション動作アドレスの隠蔽はありません。手数料の流れは以下の通りです。
さらに、イーサリアムチェーン上では、ハッカーがさまざまなクロスチェーンブリッジプロトコルや取引所を通じてマネーロンダリングを行っており、この部分に関与している現在の金額は9896 ETHであり、この部分は複数の収集アドレスを通じて収集される予定です。
事件全体を通じて、主にさまざまな取引所アカウントを通じて、ハッカーがマネーロンダリングを行う多くの経路が存在し、同時にクロスチェーンブリッジ契約に直接マネーロンダリングが行われました。他のチェーンの資本の流れの分析については、ここをクリックしてください。少なくとも 6,000 万米ドルが関与した財布の盗難、BeosinKYT がハッカーのマネーロンダリング ルーチンを案内します
その他のマネーロンダリング対策の事例:
1 Stake.com が攻撃され、4,000 万米ドルが失われました。Beosin KYT/AML は、盗まれた資金の流れを追跡するのに役立ちます。
2 Beosin KYT は JPEX 危機の背後にある資本の流れを分析していますが、ユーザーは資産のセキュリティを向上させるためにオンチェーン データをどのように分析できますか?
3 Poly Network 攻撃の余波で、Beosin KYT/AML は、盗まれた資金の流れを追跡し、ハッカーによるさらなるトリックを解くのに役立ちます。
4 3,160万ドルの敷物を引っ張る? Beosin KYT は資本の動きを追跡するのに役立ち、高利回りの詐欺の罠を特定する方法を教えてくれます。
8. 盗難資産の資金の流れの分析
2023 年を通じて盗まれた資金のうち、約 7 億 2,300 万米ドルがハッカーのアドレスに残存しており (クロスチェーンを介した送金や複数のアドレスへの分散を含む)、盗まれた資金全体の 51.8% を占めています。昨年と比べて、今年はハッカーが複数のクロスチェーンを利用して資金洗浄を行い、盗んだ資金を多くのアドレスに分散させる可能性が高くなりました。住所の増加とマネーロンダリング経路の複雑さにより、プロジェクト関係者や規制当局にとっての調査がさらに困難になることは間違いありません。
盗まれた資金のうち約21.1%にあたる約2億9,500万米ドルが回収された。 2022 年には資金の 8% のみが回収される予定です。 2023 年の盗まれた資金の回収は 2022 年よりも大幅に改善されており、そのほとんどはオンチェーンでの交渉による収益によるものです。
年間を通じて、盗難資金のうち約 3 億 3,000 万米ドルが通貨ミキサーに送金され (約 7,116 万米ドルがトルネード キャッシュに送金され、さらに 2 億 5,900 万米ドルが他の通貨ミキシング プラットフォームに送金されました)、盗難資金総額の 23.6% を占めました。この割合は昨年の38.7%から大幅に低下した。米国 OFAC が 2022 年 8 月に Tornado Cash を制裁して以来、Tornado Cash に送金された盗まれた資金の量は大幅に減少し、代わりに Sinbad、FixedFloat などの他の通貨混合プラットフォームの使用が増加しました。 2023年11月、米国OFACはシンドバッドを「北朝鮮のラザロ組織の主要なマネーロンダリングツール」として制裁リストに追加した。
さらに、盗まれた少額の資金 (1,279 万ドル) が取引所に送金され、盗まれた少額の資金 (1,090 万ドル) が凍結されました。
9. プロジェクト監査状況の分析
191 件の攻撃インシデントのうち、79 件のインシデントはプロジェクト当事者が監査されておらず、101 件のインシデントはプロジェクト当事者が監査されています。今年の監査済みプロジェクト関係者の割合は昨年よりわずかに増加しています (昨年の監査済み/未監査プロジェクトの割合はほぼ同じでした)。
監査されなかった 79 プロジェクトのうち、契約上の脆弱性インシデントが 47 件 (59.5%) を占めました。これは、監査のないプロジェクトは潜在的なセキュリティ リスクの影響をより受けやすいことを示唆しています。これに対し、契約上の脆弱性インシデントは、監査対象プロジェクト 101 件のうち 51 件 (50.5%) を占めました。これは、監査によってプロジェクトのセキュリティをある程度向上できることを示しています。
しかし、Web3 市場には完全な規制基準が存在しないため、監査の品質にはばらつきがあり、最終結果は期待とは程遠いものになっています。資産のセキュリティを効果的に確保するには、プロジェクトをオンラインにする前に監査を実施する専門のセキュリティ会社を見つける必要があることが推奨されます。世界をリードするブロックチェーン セキュリティ企業として、Beosin は Web3 エコシステムの安全な開発に取り組んでおり、PancakeSwap、Ronin Network、OKCSwap などを含む 3,000 以上のスマート コントラクトとパブリック チェーン メインネットを監査してきました。Beosin は信頼できるブロックチェーン セキュリティ会社として、プロジェクト関係者に優れたセキュリティ監査サービスを提供できます。
10. ラグの引っ張り解析
2023 年、Beosin の EagleEye プラットフォームは合計 267 件の Web3 エコロジカル ラグ プル インシデントを監視し、関与した総額は約 3 億 8,800 万米ドルで、2022 年から約 8.7% 減少しました。
金額的には、267 件のラグプル事件のうち 233 件 (87%) が 100 万米ドル未満であり、これは 2022 年とほぼ同じ割合です。 Multichain (2 億 1,000 万米ドル)、Fintoch (3,160 万米ドル)、BALD (2,300 万米ドル)、PEPE (1,550 万米ドル) を含む、1,000 万米ドルを超えるプロジェクトが 4 件あります。
BNB チェーンとイーサリアムのラグ プル プロジェクトは、それぞれ 159 件と 81 件で、総数の 92.3% を占めました。 Arbitrum、BASE、Sui、zkSync など、他のパブリック チェーンでも少数の Rug Pull イベントが発生しています。
11. 2023 年の世界の暗号通貨業界の犯罪データ
2023 年、世界の暗号化業界における犯罪額は 656 億 8,800 万米ドルという驚異的な額に達し、2022 年の 137 億 6,000 万米ドルから約 377% 増加しました。オンチェーンのハッキング攻撃の量は大幅に減少しましたが、暗号通貨の他の分野での犯罪事件は大幅に増加しています。最も大きく増加したのはオンラインギャンブルで、その額は549億米ドルに達した。以下、マネーロンダリング(約40億米ドル)、詐欺(約20億5000万米ドル)、ねずみ講(約14億3000万米ドル)、ハッカー攻撃(約13億9000万米ドル)となっている。
世界的な暗号化規制制度の改善と仮想通貨犯罪の徹底した取り締まりにより、2023 年には世界中の警察が数億ドルに関わる重大事件を多数摘発しました。以下は、いくつかの典型的なケースのレビューです。
No.1 2023年7月、中国の湖北省警察は、4,000億元(約549億米ドル)が関与した同国「初の仮想通貨事件」を捜査した。このオンラインギャンブル事件には5万人以上が関与しており、サーバーは中国国外にあり、主犯の邱蒙蒙らは法に基づいて裁判にかけられた。
No.2 2023年8月、シンガポール当局は、主に仮想通貨を利用した史上最大規模のマネーロンダリング事件を捜査し、その金額は28億シンガポールドルに達した。
No.3 2023年3月、中国の江蘇省警察は、100億元(約14億米ドル)以上のねずみ講取引額を伴うユーバンクの「コイン投機」詐欺に対する公的訴追を開始した。
No.4 ニューヨーク東部地区連邦検察局の声明によると、2023年12月、仮想通貨取引所ビッツラトの共同創設者はマネーロンダリング容疑で7億ドルの有罪を認めた。
No.5 2023年7月、ブラジル連邦警察は麻薬密売犯罪組織2社を摘発し、総額4億1,700万米ドル以上を送金し、暗号資産を通じたマネーロンダリングサービスを提供した。
No.6 オレゴン州の起訴状によると、2023年2月にForsageの創設者が3億4,000万ドルのDeFiポンジスキームに関連して起訴された。
No.7 2023年11月、インドのヒマーチャルプラデーシュ州の警察は、3億ドルの仮想通貨詐欺事件で18人を逮捕した。
No.8 2023年8月、イスラエル警察は実業家のモシェ・ホゲグとそのパートナーを、投資家から仮想通貨で2億9000万ドルをだまし取ったとして告訴した。
No.9 2023 年 6 月、タイ警察は総額 100 億バーツ (約 2 億 8,800 万米ドル) を超える仮想通貨詐欺の疑いのある事件を摘発しました。
No.10 2023年10月、香港の仮想資産取引プラットフォーム「JPEX」が詐欺容疑で警察に計66名、総額約16億香港ドル(約2億500万米ドル)を逮捕された。
2023 年は仮想通貨犯罪が急増する年です。詐欺やねずみ講の多発は、一般ユーザーが資産損失を被る可能性が大幅に高まっていることも意味します。したがって、仮想通貨業界の監督を強化することが急務となっている。今年、世界の規制当局が仮想通貨の規制に多大な努力を払ってきたことがわかりますが、完全で安全で前向きに発展するエコシステムを実現するには、まだ長い道のりがあります。
12. 2023年のWeb3ブロックチェーンセキュリティ状況まとめ
2023 年には、オンチェーンのハッキング活動、フィッシング詐欺、プロジェクト パーティーのラグ プル事件はすべて、2022 年と比較して大幅に減少しました。ハッカー攻撃による被害額は61.3%減少し、最も被害が大きかった攻撃手法も昨年の契約上の脆弱性悪用から今年の秘密鍵漏洩に変わった。この変化の主な理由は次のとおりです。
1. 昨年のハッカー活動の横行を受けて、今年は Web3 エコシステム全体がセキュリティに一層の注目を集めており、プロジェクト関係者からセキュリティ会社に至るまで、あらゆる面で取り組みが行われています。リアルタイムのオンチェーン監視、セキュリティ監査により注意を払う、過去の契約上の脆弱性悪用インシデントから積極的に学ぶなどです。これにより、契約の抜け穴から資金を盗むことが昨年よりも困難になった。
2. 世界的な監督強化とマネーロンダリング対策技術の向上。 2023 年には盗まれた資金の 21.1% が回収されることがわかり、これは 2022 年よりも大幅に改善されています。トルネードキャッシュやシンドバッドなどの通貨混合プラットフォームが米国から制裁を受けているため、ハッカーのマネーロンダリング経路はさらに複雑になっている。同時に、ハッカーが地元警察に逮捕されたというニュースも見られ、ハッカーに対する一定の抑止効果があります。
3. 年初の仮想通貨弱気市場の影響。ハッカーが Web3 プロジェクトから資産を盗むことで得られる期待利益は減少しており、ハッカーの活動は弱まっています。これにより、ハッカーはもはや DeFi、クロスチェーンブリッジ、取引所などへの攻撃に限定されず、決済プラットフォーム、ギャンブルプラットフォーム、仮想通貨ブローカー、インフラストラクチャー、パスワードマネージャー、開発ツール、MEV ロボット、TG ロボット、などのタイプ。
チェーン上のハッキング活動が大幅に減少しているのとは異なり、オンライン ギャンブル、マネーロンダリング、ねずみ講など、チェーン外でのより秘密の犯罪活動が大幅に増加しています。暗号通貨の匿名性により、さまざまな犯罪行為が取引に暗号通貨を使用する傾向が強くなっています。しかし、仮想通貨犯罪の増加を単に仮想通貨の匿名性と監督不足のせいにするのは一面的です。根本的な理由は世界的な犯罪活動の増加にあり、仮想通貨はこれらの犯罪活動に対して比較的隠蔽され追跡が困難な資金経路を提供しています。2023 年、世界の経済成長は大幅に減速し、政治環境は多くの不安定な要因に直面し、それが世界的な犯罪活動の急増にある程度寄与しました。このような経済予測の下、世界の犯罪活動は2024年も高水準にとどまると予想されており、世界の法執行機関や規制当局にとっては厳しい試練となる。
世界をリードするブロックチェーンセキュリティ企業として、Beosin は世界中の 10 以上の国と地域に支社を設立しています。この事業は、プロジェクトがオンラインになる前のコードセキュリティ監査、セキュリティリスクモニタリング、プロジェクト運営中の早期警告とブロック、盗難された仮想通貨資産の回復、セキュリティコンプライアンスKYT/AMLなどの「ワンストップ」ブロックチェーンセキュリティ製品+サービスをカバーしています。 、同社は Web3 エコシステムの安全な発展に尽力しており、HashKey Group、Amber Group、BNB Chain などを含む世界中の 3,000 社以上の企業にブロックチェーン セキュリティ技術サービスを提供し、3,000 件以上のスマート コントラクトとセキュリティ サービスを監査してきました。 PancakeSwap、Ronin Network、OKCSwap などのパブリック チェーン メインネット。
