Zero Hour Technology の毎月のセキュリティ イベントのハイライトが始まりました。いくつかのブロックチェーンセキュリティリスク監視プラットフォームの統計によると、2025年2月に脆弱性、ハッカー、詐欺によって引き起こされた損失は約17億8,200万米ドルでした。暗号通貨ハッカー攻撃は20件あり、約15億1,000万米ドルの損失が発生し、5,245万米ドルが凍結または返還されました。 Web3詐欺対策プラットフォームScam Snifferによると、今月のフィッシング事件の被害者は7,442人で、被害額は532万ドルに達した。

ハッカー攻撃

7つの典型的な安全事故

（1）2月5日、ゼロアワーテクノロジーセキュリティチームの監視によると、Mode ChainでIonic Moneyに対する一連の攻撃が開始されました。この脆弱性の主な原因は、IonicMoney プロジェクトが貸付プールを作成する際に、資産に対応する契約が正式にデプロイされているかどうかを確認しなかったため、貸付プールの復元資産が偽のトークンになったことです。この攻撃による総損失は約850万米ドルでした。

Zero Hour Technology || IonicMoney 攻撃の分析

（2）2月12日、分散型金融（DeFi）プロトコルzkLendに重大なセキュリティ脆弱性が見つかり、約3,300ETH（約850万米ドル）が盗まれました。攻撃者は、zkLend スマート コントラクトの脆弱性を悪用して、ユーザーの資金を流動性プールから許可なく引き出し、その資金を攻撃者が管理するウォレットに素早く集中させました。この事件を受けて、zkLend チームは迅速に行動し、Ethereum ZEND トークン デプロイヤー アカウントを通じて発表を行い、公式 X アカウントを通じて声明の信憑性を確認しました。

（３）2月12日、ゼロアワーテクノロジーセキュリティチームの監視によると、Four.memeプロジェクトが攻撃を受けた。 four.meme は pump.fun と同様に Binance Academy によって育成されたミームコイン ランチパッドです。この脆弱性の原因は、Four.meme が DEX に移行するときに、内部ディスク上の結合曲線プロセスが 100% であったことです。 PancakeSwap 取引ペアを作成するには、createAndInitializePoolIfNecessary を使用します。取引ペアが事前に作成されている状況は考慮されておらず、攻撃者が事前に作成して初期化した取引ペアを誤って使用することで、攻撃者が設定した誤った価格を利用して流動性が追加されます。これにより、移行後にミームコインの価格が急騰し、攻撃者は手持ちのミームコインを使用してプール内のWBNBを空にして攻撃を完了しました。この攻撃による総損失は約 15,000 米ドルでした。

Zero Hour Technology || Four.meme 攻撃の分析

（4）2月18日、アブストラクトは、ポータル内のCardexアプリケーションでセキュリティインシデントが発生し、約9,000のウォレットに影響を及ぼし、ETHで合計約40万米ドルの損失が発生したことを発見しました。 Cardex フロントエンド コードのキー漏洩により、セッション署名ウォレットが侵害されました。セッション署名ウォレットはすべてのセッションで共有されるため、Cardex でセッションを作成したすべてのユーザーが影響を受けました。

（5）2月21日、ゼロアワーテクノロジーセキュリティチームは、Bybit取引所に関連する重大なセキュリティインシデントを検出しました。その夜 02:16 UTC に、Bybit Cold Wallet が大規模な送金を開始し、401,346 ETH、8,000 mETH、90,375 stETH、および 15,000 cmETH、およそ 15 億米ドル相当を送金したことが監視されました。この攻撃により、Bybit Exchangeは総額15億ドルの損失を被りました。現在入手可能な情報によると、Bybit盗難事件における資金の追跡と凍結はまだ進行中です。 3月3日現在、複数の関係者の協調的な取り組みにより、Bybitは盗難資金約4,365万ドルを凍結することに成功しました。

ゼロアワーテクノロジー || Bybit攻撃の分析

（6）2月24日、Certik Alertは、未検証のイーサリアム契約からの疑わしい資金流出を検出しました。その価値は約4,950万ドルです。ハッカーは資金をDAIに変換し、17,696 ETHと交換しました。DeFiコミュニティYAMは、資金はInfini Earn Fundsから盗まれた疑いがあると指摘しました。 SlowMist Cosine のモニタリングによると、Infini のハッカーはテクノロジーとスマート コントラクトの運用について非常に知識が豊富で、秘密鍵を使って Vault と関連戦略から資金を盗むことができました。彼は 11,455,666 USDC と 38,060,996 USDC の 2 回の資金を盗みました。盗難は秘密鍵の漏洩と過剰な権限によって発生しました。

（7）2月27日、CyversAlerts人工知能システムはsuji_yanに関連する不審な取引を検出しました。不審なアドレスが、113 ETH、923 WETH、301 ezETH、156 weETH、90 pufET、48.4K MASK、50K USDT、15 swETH を含む約 400 万のデジタル資産を受け取りました。盗まれた資産はすぐにETHに変換され、6つの異なるアドレスに分配されました。

ラグプル/フィッシング詐欺

4つの典型的な安全事故

（1）2月6日、0x2993で始まるアドレスは、複数のフィッシング署名に署名した後、156,183ドル相当のmooConvexETH+、FLUID、aEthWETHを失いました。

（2）2月18日、0x1cabで始まるアドレスはフィッシング取引に署名した後、308,500ドル相当のTELを失いました。

（3）2月18日、0x356eで始まるアドレスは、複数のフィッシング取引に署名した後、629,812ドル相当のAave WETHと2つのDoodleを失いました。

（4）2月27日、0xadfcで始まるアドレスはフィッシング取引に署名した後、158,300ドル相当のPENDLE-LPTを失いました。

要約する

2月の暗号通貨ハッキングによる損失は合計15億1000万ドルに達した。この月は暗号通貨史上最悪の月となり、Bybit事件だけで14億3000万ドルの損失が発生した。さらに、5,245万ドルの資金が凍結または回収されました。頻繁な攻撃に直面して、業界の多くの関係者は迅速に対応し、損失を抑制するための行動に積極的に取り組み、悪質な行為と戦うためにあらゆる努力を払いました。同時に、業界全体の防御体制も徐々に強化され、連携の仕組みも成熟し、効率化が進んでいます。最後に、Zero Hour Technology セキュリティ チームは、プロジェクト所有者が常に警戒を怠らず、ユーザーにフィッシング攻撃に注意するよう注意するよう推奨しています。ユーザーはプロジェクトに参加する前にプロジェクトの背景とチームを十分に理解し、投資プロジェクトを慎重に選択することをお勧めします。さらに、社内のセキュリティトレーニングと権限管理を実施し、プロジェクトがオンラインになる前に、監査とプロジェクトの背景調査を実施するための専門のセキュリティ会社を見つける必要があります。