複数のDeFiプロジェクトが、6月7日、9日、10日(現地時間)に、スマートコントラクト、クロスチェーンブリッジ、分散型ガバナンスを標的にしたハッキング被害を経験した。SolanaベースのDEXであるRaydiumは約130万ドルを失い、EthereumのレンディングプロトコルNovaBoxは56.7 ETHを失った。Syscoinブリッジでは50億SYSトークンが不正に発行され、MILCプラットフォームは161,000ドルを失い、AragonDAOは150万ドル相当の944.2 wETHを失った。攻撃手法は、単純なコードの脆弱性を超えて、管理者権限の窃取やガバナンス乗っ取りを含むように進化している。ブロックチェーンのセキュリティ企業は、今回の事案がDeFiエコシステム全体にまたがる構造的なセキュリティリスクを浮き彫りにしていると指摘した。
Raydium DEX、レガシープール攻撃で130万ドルを失う
6月10日(現地時間)、Solanaベースの分散型取引所Raydiumは、レガシーな自動マーケットメイカー(AMM)プールを狙う攻撃を受け、盗まれた資金は約130万ドルにのぼった。プロジェクトは、被害は特定のレガシープールに限定されており、プロジェクトのトレジャリー資金を使ってユーザーの損失を補填する計画を発表した。
NovaBoxプロトコル、フラッシュローン悪用に遭う
EthereumベースのレンディングプロトコルNovaBoxは、フラッシュローンの悪用によって攻撃された。ブロックチェーンのセキュリティ企業F12によると、攻撃者は入金と報酬の配分構造にある脆弱性を突いて、約56.7 ETHを盗んだという。攻撃者はフラッシュローンで担保した大量の資本を用いて、実際の権利以上の配当を受け取り、流動性プールの資産の大半を枯渇させた。F12はソーシャルメディア投稿で、この攻撃には「再入可能性なし、オーバーフローなし、純粋な経済設計の欠陥」が含まれており、「1回の取引(tx)でプールの99.86%が消えた」と述べた。
Syscoinブリッジの事案、5億SYSの発行につながる
レイヤー1ブロックチェーンのプロジェクトSyscoinは、ブリッジの脆弱性が悪用され、6月7日に5 billion SYSトークンが違法に発行される事態となった。プロジェクトは、異常な取引を早期に検知し、供給の大部分をリカバリアドレスへ移したと述べた。Syscoinはブリッジ業務を停止し、現在セキュリティパッチを導入していると発表した。同プロジェクトはソーシャルメディアに「チームが調査し、修正を最終確定するまで、Syscoinブリッジは現在停止中です」と投稿した。
MILCプラットフォーム、管理者キーの侵害により$161K 損失
メディアに焦点を当てたデジタル資産プロジェクトMILC Media Metaverse Platformは、管理者権限の窃取によるブリッジ事案に見舞われた。F12によると、攻撃者は既存のブリッジ管理者ウォレットを悪用して、自身の外部保有アカウント(EOA)に管理者権限を付与し、その後ブリッジコントラクトからMLT(Media License Token)を引き出して、管理者コントロールを自分のウォレットへ移したという。F12は、根本原因を「契約のバグではなく、管理者の秘密鍵の侵害」と特定し、損失を約161,000ドルと見積もった。
AragonDAOのガバナンス悪用で150万ドルを流出
AragonDAOのガバナンス設定にある脆弱性を悪用するハッキング攻撃により、944.2 wETH(ラップド・イーサリアム)相当の150万ドル(約22.9 billion KRW)が盗まれた。ブロックチェーンのセキュリティ企業BlockSec Phalconによれば、攻撃者はTOP(Token of Power)ガバナンストークンの50%以上を保有し、構造的な欠陥を利用して違法に10 billion TOPトークンを発行し、その後1 billion TOPをwETHにスワップしたという。BlockSec Phalconは、攻撃者が「TOPの投票権の50%以上を取得した。トークンの市場価値が低いためであり、それを使って6月9日にガバナンス提案を可決し、実行した」と述べた。
Chainalysis、AI対応の攻撃ツールに警告を発出
Chainalysisは6月9日(現地時間)に、人工知能(AI)ベースの分析ツールの普及により、検証されていないスマートコントラクトを攻撃する難易度が大幅に下がっているとするレポートを公表した。同社は、「DeFiプロジェクトがコード開示、セキュリティ監査、分散型の権限システムを強化しなければ、セキュリティ事案が繰り返される可能性がある」と診断した。
FAQ
最近のDeFiハッキング事案では、攻撃者はどのような種類の脆弱性を悪用しましたか?
攻撃者は、RaydiumのレガシーAMMプールの脆弱性、NovaBoxのフラッシュローンにおける経済設計上の欠陥、Syscoinのブリッジコントラクトの弱点、MILCプラットフォームにおける侵害された管理者の秘密鍵、そしてAragonDAOにおけるガバナンストークンの集中を悪用した。これらの事案は、複数のブロックチェーン上で、6月7日、9日、10日(現地時間)に発生した。
報告されたDeFi攻撃すべてで、合計どれくらいの価値が盗まれましたか?
報告された事案の結果、Raydiumから約130万ドル、NovaBoxから56.7 ETH、MILCプラットフォームから161,000ドル、AragonDAOから150万ドルが盗まれた。Syscoinで違法に発行された5 billion SYSトークンは、プロジェクトの声明によれば、ほとんどがプロジェクトが管理するアドレスへ回収された。
Chainalysisは6月9日のレポートで、どのようなセキュリティ対策を推奨しましたか?
Chainalysisは6月9日のレポートで、DeFiプロジェクトはコード開示、セキュリティ監査、分散型の権限システムを強化すべきだと述べた。同社はまた、AIベースの分析ツールによって、検証されていないスマートコントラクトを攻撃するためのハードルが下がったと指摘した。
