要点
DeFiマーケットメイカーのTrustedVolumesは、攻撃者がイーサリアム上のカスタムスワップ基盤の脆弱性を悪用したことにより、約670万ドル相当のデジタル資産を失いました。1inch Fusionプロトコルのリゾルバーとして運営されている同社は、この侵害を認め、盗まれた資金が3つの独立したイーサリアムウォレットに保管されていることを明らかにしました。
「根本原因は、パーミッションレスな署名者登録、機能していないリプレイ保護、そして検証されていない送金元フィールドの組み合わせでした」と、暗号資産セキュリティ企業Cyversのシニアセキュリティオペレーションリード、Hakan Unal氏はDecryptに語りました。セキュリティ企業のBlockaidが最初に不正な活動を察知し、その後CertiKが、攻撃者が信頼できる署名者として登録し資金を引き出すことを可能にした具体的な攻撃ベクトルを特定しました。
Blockaidのデータによると、盗まれた資産には約1,291 Wrapped Ether (WETH)、126万 USDC、206,282 USDT、および16.93 Wrapped Bitcoin (WBTC)が含まれています。TrustedVolumesは総損失額を認め、資金を保持している3つのウォレットアドレスを公開しました。それぞれの残高は約300万ドル、300万ドル、70万ドルです。同社はX(旧Twitter)上で、「バグバウンティおよび相互に受け入れ可能な解決策に関する建設的な対話に応じる用意がある」と述べています。
分散型金融(DeFi)アグリゲーターの1inchは、自社のコアプロトコルやユーザー資金は侵害されていないことを強調し、この事件から距離を置きました。TrustedVolumesは独自の独立したコントラクトを運用しており、1inchの多くの流動性ソースの一つとして機能していますが、脆弱性は同社のシステム内に限定されていました。「1inchも1inchプロトコルのいずれも関与していないことを確認しています」とプラットフォームはXに投稿し、一部の報道の構成は「最終的に混乱を招き有害である」と付け加えました。
この脆弱性により、攻撃者はパブリック関数を呼び出すことで認可された権限を取得することができました。セキュリティ専門家は、この欠陥がさらに大きな損失につながる可能性があったと指摘しています。「リプレイ保護が機能していなかったため、攻撃者は承認済みの追加アカウントから繰り返し資金を流出させた可能性があります」とCyversのUnal氏は指摘しました。この事件は、複雑なスマートコントラクトの相互作用に依存するDeFiプロトコルが直面し続けているセキュリティ上の課題を浮き彫りにしています。
ブロックチェーン分析企業は、今回の攻撃者を2025年3月に発生した1inch Fusionに関連する過去の事件と結びつけており、DeFiエコシステム内の脆弱性を標的にする執拗な攻撃者の存在を示唆しています。1inch側は、セキュリティパートナーと協力して攻撃を分析し、その結果を現在進行中のセキュリティおよび統合プロセスに取り入れていると述べています。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
