ゼロテックの毎月のセキュリティイベントのハイライトが始まりました!いくつかのブロックチェーンセキュリティリスク監視プラットフォームの統計によると、2025年1月には欠陥、ハッカー、詐欺による損失が約9800万ドル、28回の暗号資産ハッカー攻撃が発生し、そのうち約800万ドルがフィッシングに帰属します。ただし、2024年1月の1.33億ドルの損失に比べて44.6%減少しました。また、2024年12月の2358万ドルの損失に比べて56%減少しました。### **ハッカー攻撃に関する****典型なセキュリティイベント**7**つ**起こる(1) 1月8日、Orange Finance(Arbitrum 上の DeFi プロトコル)のユーザーが80万ドルを超える被害に遭いました。攻撃者はこのプロトコルの管理キーにアクセスし、それらのキーを使用してプロトコルの契約を悪意のあるアップグレード実行し、このプロトコルに有効なトークン承認を持つすべてのユーザーのウォレットから資金を盗みました。! [暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で急激に減少しました](https://img.gateio.im/social/moments-04527721f515ac240d463ee5c3f8b47c)(2) 1月8日、Mobyはプライベートキーの漏洩事件が発生し、一部のLP資産に影響を与えました。これはプロトコルのスマートコントラクトに関連するセキュリティの問題ではなく、ハッカーが盗まれた代理プライベートキーを使用して既存のスマートコントラクトを簡単にアップグレードして資金を盗む試みでした。最終的に、tonykebotは保護が欠けていたUUPSを利用して成功したホワイトハット救済活動を行い、攻撃されたオプションプロトコルMobyからハッカーが入手した147万USDCをプロジェクトのオーナーに返還しました。(3) 1月13日、零時科技安全チームのモニタリングによると、EVMチェーン上のUniLendが攻撃を受け、約19.7万ドルの損失が発生しました。今回の脆弱性の原因は、Unilendがリディムを行う際、担保物の数量を計算する際に、リディムすべき数量を引いていなかったため、攻撃者の実際の担保物の数量よりも高い誤った計算結果となり、成功すべきでない取引が成功してしまいました。最終的に、攻撃者はプロジェクトのstETHトークンを空にしました。詳細な攻撃分析はこちらのリンクをクリックしてください:ゼロアワー技術 || Unilend 攻撃インシデント分析(4) 1月15日、ZeroTechプロジェクトチームは、Ethereumチェーン上のSorraプロジェクトに対する攻撃事件が複数件あったことを検知しました。攻撃により、約41,000 USDの損失が発生しました。今回の脆弱性の原因は、Sorraプロジェクトがユーザーが報酬を既に引き出しているかどうかを判断しなかったため、ユーザーが報酬を繰り返し大量に引き出すことができるようになっていました。攻撃者はこの脆弱性を利用して、複数回の取引を行い、SorraプロジェクトのSORトークンをすべて引き出しました。詳細な攻撃分析はこちらのリンクをご覧ください:ゼロアワー技術 || SorraStaking 攻撃イベント分析1月21 (5)、FortaはTheIdolsNFTに324,000ドルの脆弱性を検出しました。! [暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で大幅に減少しました](https://img.gateio.im/social/moments-d96577c20512823506b505e9454badb5)(6) 1月23日、シンガポールに本部を置くPhemexの暗号資産取引所のホットウォレットが攻撃を受け、約7000万ドルの損失が発生しました。! [暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で大幅に減少しました](https://img.gateio.im/social/moments-dbcac6fb9d348e5008369b4cda423c03)(7) 1月24日、ODOSは入力検証が不足しているため、複数のチェーンで悪用されており、約10万ドルの損失が発生していると、SlowMistセキュリティチームが監視していると報告しました。ODOSは、この攻撃が監査済みのexecutor契約の中の1つの脆弱性を利用して、契約に保存されている収入を窃取したが、ユーザーの資金には影響を与えなかったと述べています。! [暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で急激に減少しました](https://img.gateio.im/social/moments-baf89e938dadbba3d58f25af76fe1306)### **ラグプル/フィッシング詐欺****典型なセキュリティイベント*****10*****件**(1) 1月2日、$VIRTUALの所有者が約39倍($196,396)のトークンを保有していたが、「増加限度額」のフィッシング取引によりすべてのトークンを失った。(2) 1月3日、$RLB保有者の1人が「Uniswap Permit2」フィッシング署名により約100万ドル相当のトークンを失いました。(3) 1月6日、0x5167で始まるアドレスは、「手当ての増加」フィッシング取引に署名した後、155,256ドル相当のEIGENを失いました。(4) 1月7日、0x8536で始まるアドレスは、「Uniswap Permit2」のフィッシング取引に署名した後、103,020ドル相当のトークンを失いました。(5) 1月8日、0x3402で始まるアドレスは、複数のフィッシング署名に署名した後、$OLAS、$SEKOIA、$VIRTUALおよび$FJOの合計474,422ドル相当を失いました。(6) 1月14日、0x00c0で始まるアドレスは、フィッシング取引に署名した後、263,255ドル相当の$VIRTUALを失いました。(7) 1月17日、0x80dc 頭地址は「許可証」フィッシング署名を行った後、426,106 ドル相当の USUALUSDC+ を失いました。(8) 1月20日、0x1e70で始まるアドレスは、「許可」フィッシング署名に署名した後、135,068ドル相当のWETHを損失しました。(9) 1月22日、0x3149で始まるアドレスは、「送金」フィッシング取引に署名した後、価値553,045ドルの $XGを失いました。1月29日、0xeb2で始まるアドレスは、「increaseApproval」フィッシング取引に署名した後、384,645ドル相当の$LINKを失いました。( **概要**1月、フィッシング詐欺は9,220人の被害者から1,025万ドルを盗み出しました。これは12月の2,358万ドルの被害額から56%減少しています。しかし、犯罪者は常に進化し、より複雑な攻撃手段を取っています。ゼロタイムテクノロジーセキュリティチームは、プロジェクトチームが常に警戒心を持ち、一般のユーザーがフィッシング攻撃に注意するようにすることを提案しています。ユーザーは、プロジェクトの背景やチームについて十分に理解し、投資プロジェクトを慎重に選択することをお勧めします。また、内部のセキュリティトレーニングとアクセス権の管理を行い、プロジェクトが開始される前に専門のセキュリティ会社を見つけて監査を行い、プロジェクトの背景調査を行う必要もあります。
暗号化月報:1月の資金の安全損失は約9800万ドルで、前年同期比、前月比ともに大幅に減少しました。
ゼロテックの毎月のセキュリティイベントのハイライトが始まりました!いくつかのブロックチェーンセキュリティリスク監視プラットフォームの統計によると、2025年1月には欠陥、ハッカー、詐欺による損失が約9800万ドル、28回の暗号資産ハッカー攻撃が発生し、そのうち約800万ドルがフィッシングに帰属します。ただし、2024年1月の1.33億ドルの損失に比べて44.6%減少しました。また、2024年12月の2358万ドルの損失に比べて56%減少しました。
ハッカー攻撃に関する
典型なセキュリティイベント7つ起こる
(1) 1月8日、Orange Finance(Arbitrum 上の DeFi プロトコル)のユーザーが80万ドルを超える被害に遭いました。攻撃者はこのプロトコルの管理キーにアクセスし、それらのキーを使用してプロトコルの契約を悪意のあるアップグレード実行し、このプロトコルに有効なトークン承認を持つすべてのユーザーのウォレットから資金を盗みました。
! 暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で急激に減少しました
(2) 1月8日、Mobyはプライベートキーの漏洩事件が発生し、一部のLP資産に影響を与えました。これはプロトコルのスマートコントラクトに関連するセキュリティの問題ではなく、ハッカーが盗まれた代理プライベートキーを使用して既存のスマートコントラクトを簡単にアップグレードして資金を盗む試みでした。最終的に、tonykebotは保護が欠けていたUUPSを利用して成功したホワイトハット救済活動を行い、攻撃されたオプションプロトコルMobyからハッカーが入手した147万USDCをプロジェクトのオーナーに返還しました。
(3) 1月13日、零時科技安全チームのモニタリングによると、EVMチェーン上のUniLendが攻撃を受け、約19.7万ドルの損失が発生しました。今回の脆弱性の原因は、Unilendがリディムを行う際、担保物の数量を計算する際に、リディムすべき数量を引いていなかったため、攻撃者の実際の担保物の数量よりも高い誤った計算結果となり、成功すべきでない取引が成功してしまいました。最終的に、攻撃者はプロジェクトのstETHトークンを空にしました。
詳細な攻撃分析はこちらのリンクをクリックしてください:
ゼロアワー技術 || Unilend 攻撃インシデント分析
(4) 1月15日、ZeroTechプロジェクトチームは、Ethereumチェーン上のSorraプロジェクトに対する攻撃事件が複数件あったことを検知しました。攻撃により、約41,000 USDの損失が発生しました。今回の脆弱性の原因は、Sorraプロジェクトがユーザーが報酬を既に引き出しているかどうかを判断しなかったため、ユーザーが報酬を繰り返し大量に引き出すことができるようになっていました。攻撃者はこの脆弱性を利用して、複数回の取引を行い、SorraプロジェクトのSORトークンをすべて引き出しました。
詳細な攻撃分析はこちらのリンクをご覧ください:
ゼロアワー技術 || SorraStaking 攻撃イベント分析
1月21 (5)、FortaはTheIdolsNFTに324,000ドルの脆弱性を検出しました。
! 暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で大幅に減少しました
(6) 1月23日、シンガポールに本部を置くPhemexの暗号資産取引所のホットウォレットが攻撃を受け、約7000万ドルの損失が発生しました。
! 暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で大幅に減少しました
(7) 1月24日、ODOSは入力検証が不足しているため、複数のチェーンで悪用されており、約10万ドルの損失が発生していると、SlowMistセキュリティチームが監視していると報告しました。ODOSは、この攻撃が監査済みのexecutor契約の中の1つの脆弱性を利用して、契約に保存されている収入を窃取したが、ユーザーの資金には影響を与えなかったと述べています。
! 暗号月報:1月のファンドセキュリティの損失は約9,800万米ドルで、前年同月比で急激に減少しました
ラグプル/フィッシング詐欺
典型なセキュリティイベント10件
(1) 1月2日、$VIRTUALの所有者が約39倍($196,396)のトークンを保有していたが、「増加限度額」のフィッシング取引によりすべてのトークンを失った。
(2) 1月3日、$RLB保有者の1人が「Uniswap Permit2」フィッシング署名により約100万ドル相当のトークンを失いました。
(3) 1月6日、0x5167で始まるアドレスは、「手当ての増加」フィッシング取引に署名した後、155,256ドル相当のEIGENを失いました。
(4) 1月7日、0x8536で始まるアドレスは、「Uniswap Permit2」のフィッシング取引に署名した後、103,020ドル相当のトークンを失いました。
(5) 1月8日、0x3402で始まるアドレスは、複数のフィッシング署名に署名した後、$OLAS、$SEKOIA、$VIRTUALおよび$FJOの合計474,422ドル相当を失いました。
(6) 1月14日、0x00c0で始まるアドレスは、フィッシング取引に署名した後、263,255ドル相当の$VIRTUALを失いました。
(7) 1月17日、0x80dc 頭地址は「許可証」フィッシング署名を行った後、426,106 ドル相当の USUALUSDC+ を失いました。
(8) 1月20日、0x1e70で始まるアドレスは、「許可」フィッシング署名に署名した後、135,068ドル相当のWETHを損失しました。
(9) 1月22日、0x3149で始まるアドレスは、「送金」フィッシング取引に署名した後、価値553,045ドルの $XGを失いました。
1月29日、0xeb2で始まるアドレスは、「increaseApproval」フィッシング取引に署名した後、384,645ドル相当の$LINKを失いました。
( 概要
1月、フィッシング詐欺は9,220人の被害者から1,025万ドルを盗み出しました。これは12月の2,358万ドルの被害額から56%減少しています。しかし、犯罪者は常に進化し、より複雑な攻撃手段を取っています。
ゼロタイムテクノロジーセキュリティチームは、プロジェクトチームが常に警戒心を持ち、一般のユーザーがフィッシング攻撃に注意するようにすることを提案しています。ユーザーは、プロジェクトの背景やチームについて十分に理解し、投資プロジェクトを慎重に選択することをお勧めします。また、内部のセキュリティトレーニングとアクセス権の管理を行い、プロジェクトが開始される前に専門のセキュリティ会社を見つけて監査を行い、プロジェクトの背景調査を行う必要もあります。