1月のDeFiインシデントトップ3
Truebit Protocol:約2600万ドル
2026年1月8日、イーサリアム上のTruebit Protocolがエクスプロイトされ、約2600万ドルの損失が発生しました。このインシデントは、堅牢なスマートコントラクトセキュリティの極めて重要な重要性を浮き彫りにしています。
根本原因は、TRUトークン購入価格設定機能における整数オーバーフローの脆弱性でした。コントラクトはSolidity v0.6.10でコンパイルされており、デフォルトではオーバーフローチェックが強制されません。攻撃者は、購入コスト計算における大きな中間値がオーバーフローしてはるかに小さい数値にラップアラウンドするような入力パラメータを作成しました。これにより、攻撃者は最小限またはゼロETHコストで大量のTRUトークンを購入することができました。
攻撃者は、単一の攻撃トランザクション内で複数のアービトラージラウンドを実行し、TRUトークンの売買操作を繰り返し実行しました。特に、プロトコルは即時の売買アービトラージを防ぐために、意図的に売買間の価格設定の非対称性を設計していました。しかし、脆弱なコントラクトは、オーバーフロー保護のない古いSolidityバージョンを使用してデプロイされており、攻撃対象領域が露呈し、最終的にプロトコル準備金から8,535 ETHが枯渇しました。
BlockSecのスマートコントラクト監査でdAppを保護しましょう
整数オーバーフローのような脆弱性がプロトコルを脅かすことを許さないでください。当社の専門チームは、コストのかかるエクスプロイトになる前にリスクを特定し軽減するために、徹底的なスマートコントラクト監査を実施します。
Web3における最高のセキュリティ監査人
ローンチ前に設計、コード、ビジネスロジックを検証
SwapNet & Aperture:約1700万ドル
2026年1月25日、SwapNetとAperture Financeは、共通の脆弱性に起因する攻撃を受け、合計約1700万ドルの損失が発生しました。この攻撃は、Matcha Metaユーザーに大きな影響を与え、影響を受けた資金は1300万ドルを超えました。
影響を受けた両方のコントラクトはクローズドソースでしたが、逆コンパイルされたバイトコードとオンチェーントランザクショントレースを分析することで、攻撃パスを再構築することができました。根本原因は、脆弱な関数内の重要なユーザー入力に対する検証が不十分であり、攻撃者が悪意のあるパラメータで任意の呼び出しを実行できることでした。一連の攻撃トランザクションで、攻撃者は脆弱なコントラクトにトークン承認を付与したことのあるユーザーからトークンをドレインするために、ERC20 transferFrom()の呼び出しを構築しました。これは、一般的なDeFiセキュリティリスクを浮き彫りにしています。
この攻撃に関与した両方のプロトコルはコードをオープンソース化していなかったため、コミュニティが公開レビューを通じてセキュリティ脆弱性を特定することを困難にしていました。一方、承認ベースの攻撃アプローチは、業界への警鐘として役立ちます。ユーザーはトークン承認を注意深く管理する必要があり、プロトコルは時間ロックまたはキャップ付き承認などの保護メカニズムを実装して、そのような攻撃のリスクを根本的に軽減する必要があります。
Phalcon Security:リアルタイム脅威監視と攻撃防止
SwapNetやApertureのような高度な攻撃を先取りしましょう。Phalcon Securityは、疑わしいオンチェーンアクティビティのリアルタイム監視とアラートを提供し、エクスプロイトの検出と防止を支援します。
Saga:約700万ドル
2026年1月21日、SagaエコシステムのSagaEVMがエクスプロイトされ、不正なトークンミントと約700万ドルの損失が発生しました。このインシデントは、あらゆるレイヤーにおける堅牢なブロックチェーンセキュリティの重要性を強調しています。
根本原因はまだ完全に開示されていませんが、公式情報筋は、SagaEVMが継承したEthermintとCosmosEVMコードの共通の脆弱性が攻撃につながったことを確認しています。攻撃者は悪意のあるスマートコントラクトをデプロイしてエクスプロイトを実行し、大量のSagaドルをミントしました。攻撃の成功後、盗まれた資金のほぼすべてがクロスチェーンブリッジを介してイーサリアムネットワークに迅速に転送されました。
このインシデントは、ブロックチェーンエコシステムにおけるコード継承のリスクを浮き彫りにしています。基盤となるコードベースに脆弱性が存在する場合、そのコードを継承するすべてのプロジェクトが同じ脅威に直面する可能性があり、連鎖的なセキュリティ脆弱性を生み出します。このようなエコシステムには、包括的なインフラストラクチャ監査が不可欠です。
上記の情報は、2026年1月31日午前0時(UTC)時点のデータに基づいています。
これで1月のセキュリティインシデント概要は終了です。ブロックチェーンセキュリティインシデントとWeb3セキュリティトレンドの詳細な分析については、リソースをご覧ください。
セキュリティインシデントライブラリで詳細を確認できます。
情報を入手し、安全を確保しましょう!
