要点
- DeFi取引プロトコルのTrusted Volumesが、約590万ドル相当の様々な暗号資産を不正に流出させられました。
- この攻撃はプロトコルの署名検証の欠陥により可能となり、ハッカーが注文を偽造することができました。
- イーサリアムやラップドビットコインを含む盗難資産は、分散型取引所を通じて迅速に洗浄されました。
戻る
DeFiプロトコル「Trusted Volumes」が脆弱性攻撃により590万ドルを失う
ブロックチェーンセキュリティ企業PeckShieldによると、分散型金融(DeFi)プロトコルのTrusted Volumesは、攻撃者がスマートコントラクトの重大な欠陥を突いたことにより、約590万ドル相当のデジタル資産を失いました。
PeckShieldの広報担当者は事後報告書で、「我々の分析によると、今回のハッキングはプロトコルのfillOrder関数内のロジックエラーによって引き起こされ、攻撃者が署名検証をバイパスすることを可能にした」と述べています。ブロックチェーンセキュリティ企業のSlowMistも、この脆弱性攻撃の詳細を確認しました。
1inchネットワークの流動性プロバイダーから流出した総額には、1,291 ETH(302万ドル)、16.94 WBTC(137万ドル)、126万 USDC、206,000 USDTが含まれていました。オンチェーンデータによると、攻撃者は即座に資金洗浄を開始し、分散型取引所を通じてステーブルコインとWBTCを2,513 ETHに変換しました。
この事件は、資金を移動させるために広範なユーザー許可を必要とするRFQ(見積依頼)方式のDeFiプロトコルに内在するセキュリティリスクを浮き彫りにしています。被害額はシステム全体を脅かすほどではありませんが、ユーザーの信頼を損ない、監査が不十分な小規模なDeFiプロジェクトを取り巻くハイリスクなイメージを強めることになります。
攻撃はどのように行われたか
Trusted Volumesは、ピアツーピア取引を促進するRFQシステムを使用した分散型相対取引(OTC)デスクとして運営されています。このモデルでは、「テイカー」が価格見積もりを依頼し、「メイカー」がそれを提供します。双方が注文に署名し、スマートコントラクトによって決済が行われます。システム全体のセキュリティは、完璧な暗号署名検証にかかっています。
攻撃者は、fillOrder関数の署名検証ロジックに脆弱性を見つけました。これにより、適切な権限なしに取引注文を偽造することが可能になり、ユーザーがプロトコルに管理を承認していた資金が事実上流出しました。Trusted Volumesを流動性プロバイダーとして使用している分散型取引所1inchは、自社のシステムはこの侵害の影響を受けていないことを確認しました。
この脆弱性攻撃は、DeFi分野における絶え間ない脅威を改めて思い知らされるものとなりました。攻撃者がより巧妙になるにつれ、ユーザーの資金を扱うプロトコルにとって、厳格なコード監査とセキュリティのベストプラクティスの必要性はかつてないほど重要になっています。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
