分散型金融（DeFi）プロトコルのRhea Financeは4月16日に重大なセキュリティ脆弱性に遭遇し、ブロックチェーンのセキュリティ企業CertiKは損失が約760万ドルに上ると見積もっている。攻撃者は偽のトークン・コントラクトを作成し、さらに新たに設けた流動性プールに資金を注入することで、プロトコルのオラクルおよび検証メカニズムを誤作動させ、その結果として資金を正常に引き出すことに成功した。CertiKは関与したオンチェーンのアドレスを特定しており、調査は継続中である。

攻撃メカニズム：偽のトークン・コントラクトと流動性プールの組み合わせによる欺瞞

（出所：NearBlocks）

CertiKの初期分析によれば、今回の攻撃の技術的な手順には2つの重要なステップがある。攻撃者はまず偽のトークン・コントラクトをデプロイし、その後、新規に作成した流動性プールへ資金を注入して、「通常の取引活動」が行われているように見せかけた。この操作は、Rhea Financeプロトコルが依存するオラクルと検証レイヤーを誤誘導し、資産価値を誤って評価させることで、攻撃者がプロトコルに認識された価値と実際の価値とのギャップを利用して資金を引き出せるようにした。

この種のオラクル操作攻撃は、DeFiエコシステムにおいて繰り返し現れる代表的なセキュリティ脅威であり、核心となる仕組みは、人為的に作り出した流動性のシグナルや虚偽の価格データによって、プロトコルが資産の状態を判断することを歪め、本来実行されるべきでない取引ロジックを引き起こす点にある。

損失規模：760万ドルはRhea FinanceのTVLの約6%

CertiKは今回の損失が約760万ドルだと見積もっているが、オンチェーン分析が深まるにつれて、この数値はなお調整される可能性がある。DefiLlamaのデータによると、Rhea Financeは現在約1.28億ドルの総ロック価値（TVL）を保有しており、今回の脆弱性による損失はプラットフォーム全体の流動性の約6%に相当する。単一のセキュリティインシデントとしては、中程度〜やや深刻な部類だ。

攻撃者は資金を盗んだ後、複数のオンチェーン・アドレスを経由して資産をルーティングしており、これはDeFi攻撃後に見られる一般的な混乱目的の手法である。目的は、追跡や資金凍結に関する作業を複雑化することにある。

同日：大口のオンチェーン資金の動き

Rhea Financeの件が起きた同日、オンチェーンの記録には他にも注目すべき大口BTC移転が2件あった：

米国政府：Coinbase Primeに8.2 BTC（約60.6万ドル）を入金。これらの資産は、Bitfinexのハッカー事件に関連する差し押さえ資産によるもの

Abraxas Capital：Krakenに1,993 BTC（約1.48億ドル）を入金。3月中旬以降の大規模なビットコイン取引パターンを継続

よくある質問

オラクル操作攻撃とは何で、それはDeFiプロトコルにどう影響するのか？

オラクルとは、DeFiプロトコルがオフチェーンまたはオンチェーンの価格データを取得するための仲介役である。攻撃者が、人為的に制御した流動性プールや偽のトークン・コントラクトを通じてオラクルに歪んだデータを入力すると、プロトコルは資産価値を誤って評価し、偏差のある価格に基づいて借り入れ、清算、裁定取引などの操作を実行してしまう可能性がある。結果として攻撃者は、無リスクで差額を回収できてしまう。これはDeFiの歴史の中で最もよく見られ、かつ継続的に存在する攻撃手法の一つだ。

Rhea Financeの今回の損失は、TVLに対してどれほど深刻？

760万ドルの損失は、Rhea Financeの約1.28億ドルのTVLの5.9%に相当し、中程度〜やや深刻なセキュリティインシデントに当たる。もし攻撃者がまだすべての資金移転を完了していない場合、実際の損失はCertiKの初期見積もりよりも大きくなる可能性がある。プラットフォームは現在も稼働しているが、潜在的な継続リスクがある。

Rhea Financeは現時点で未回答。保有資産のユーザーはどう対応すべき？

プロトコルチームが公式な回答を出すか、システムが脆弱性を安全に封じ込めたことを確認するまで、Rhea Financeの資産を保有するユーザーは、リスクを下げるために流動性の引き揚げを検討すべきだ。CertiKなどの第三者セキュリティプラットフォームを通じて、インシデントの最新のオンチェーン状況を継続的に追跡し、脆弱性の修復が完全に確認される前に新たな資金の入金を行わないようにすること。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

$263 百万ドルの暗号通貨窃盗のマネーロンダリングで70か月の刑を言い渡された22歳

執行措置セキュリティインシデント

米司法省によると、カリフォルニア州在住のエヴァン・タンゲマン（22歳）は、金曜に、多州にまたがる暗号資産の窃盗グループから得た資金のマネーロンダリングに関与したとして、連邦刑務所で70か月の判決を受けた。該当グループは、被害者からデジタル資産を約 $263 百万ドル盗んだという。米国。

CryptoFrontier30分前

Litecoin、MWEBプライバシーレイヤーのゼロデイ悪用後に深刻なチェーン再編

セキュリティインシデント

Gate Newsメッセージ、4月26日 — ライトコインは土曜の午後、攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことを受けて、深刻なチェーン再編を経験した。

GateNews42分前

Avi Eisenbergに関連するアドレスが新たなオンチェーン活動を示し、安全性への懸念が高まる

執行措置セキュリティインシデントオンチェーンデータ

ゲートニュース 4月26日 — ブロックチェーン分析プラットフォームのArkhamは、2022年のMango Marketsエクスプロイトで約$110 百万ドルの利益を得た攻撃者Avi Eisenbergに関連していると見られるアドレスから、オンチェーン活動の再開を示す新たな動きを確認した。Eisenbergはこれまで、

GateNews2時間前

SuiチェーンのDeFiレンディングプロトコル「Scallop」がハッキング被害、旧バージョンのコントラクトの脆弱性により15万SUIが盗難

プロジェクト進捗セキュリティインシデント

Scallop は Sui チェーンで攻撃を受け、サイドコントラクトにより sSUI 報酬プールが悪用され、約 15 万枚の SUI が盗まれました。中核コントラクトの安全性は確保されており、入金と出金はすでに復旧しています。公式声明は、すでに廃止済みの報酬コントラクトに限られ、ユーザーの資金には影響がありません。前 NEAR の開発者 Vadim は、この脆弱性の原因が 17 か月前の旧版 V2 パッケージにあるとし、last_index が初期化されていなかったため 2023 年以降に報酬が累積されたと指摘しました。修正には、共有オブジェクトにバージョン欄を追加し、バージョンの検証を強化して、古いパッケージがリスクを引き起こさないようにする必要があります。

ChainNewsAbmedia3時間前

Scallop、sSUI報酬プールの脆弱性を発見、150K SUIの損失が発生するも全額の補償を約束

プロジェクト進捗セキュリティインシデント

Gate Newsメッセージ、4月26日――Suiエコシステムにおける貸出プロトコルのScallopは、自社のsSUI報酬プールに関連する補助コントラクトで脆弱性が発見されたことを発表し、その結果、約150,000 SUIの損失が発生した。影響を受けたコントラクトは凍結されており、Scallopは、コアとなるコントラクトは引き続き安全であり、影響を受けているのはsSUI報酬プールのみであることを確認した

GateNews7時間前

ライトコイン、MWEBプライバシーレイヤーのゼロデイ脆弱性悪用後に深いチェーン再編を実施

毎日暗号資産ニュース価格ボラティリティ執行措置セキュリティインシデントオンチェーンデータ

ゲート・ニュース、4月26日 — ライトコインは土曜日に深いチェーンの再編（reorganization）を経験した。これは、攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことによるもので、ライトコイン財団によれば (April 26) のことだった。再編はブロック 3,095,930 から 3,095,943 に及び、

GateNews8時間前

0/400

コメントなし