Back to Blog

ニュースレター - 2026年5月号

Code Auditing
June 3, 2026
4 min read
Key Insights

5月のセキュリティインシデント トップ3

5月に発生した最大の損失は、スマートコントラクトの脆弱性ではなく、秘密鍵の漏洩、クロスチェーン検証の欠陥、ミント権限やブリッジのセマンティクス(論理的意味付け)を取り巻く運用セキュリティの不備など、信頼の境界における障害に起因するものでした。

この傾向は、Web3のセキュリティがスマートコントラクトのコードをはるかに超えた範囲に及ぶことを改めて示しています。すべてのシステムは、そのライフサイクル全体を通じて信頼の前提条件を組み込んでいます。これらの前提条件が一つでも崩れると、それが攻撃者にとって唯一必要な「最も弱いリンク」となってしまいます。

Echo Protocol: 約7,670万ドル

2026年5月19日、Monad上のEcho ProtocolのeBTCデプロイメントが重大なセキュリティインシデントに見舞われました。攻撃当時のeBTCのペグ価格に基づくと、損失額は約7,670万ドルと推定されています。

根本的な原因は、従来のスマートコントラクトのロジックの脆弱性ではなく、管理者キーの侵害でした。特権的な制御権を得た攻撃者は、対応する担保を預け入れることなく、約1,000 eBTCを不正に鋳造(ミント)しました。eBTCはBTCの価値を追跡するように設計されていたため、不正な鋳造は即座に莫大な想定エクスポージャーを生み出しました。その後、攻撃者は偽造した供給の一部を下流のプロトコルに移動させ、このインシデントをプロトコル横断的なリスクイベントへと発展させました。

この事例は、合成資産やラップ資産のシステムにおいて、重要なセキュリティの境界はコントラクトの正しさだけではなく、ミント権限が単一の特権キーに過度に集中していないかにあることを強調しています。その信頼のアンカーが一度侵害されると、攻撃者は意図された担保モデルを完全に回避することが可能になります。

公式発表を読む

StablR: 約1,280万ドル

2026年5月24日、StablRのステーブルコインシステムにおいて、約1,280万ドルにおよぶ不正なトークン発行を伴うセキュリティ侵害が発生しました。

公開レポートに基づくと、これは従来のスマートコントラクトの悪用というよりも、主にインフラまたは鍵管理の侵害であったように見受けられます。攻撃者はマルチシグベースのミント権限を掌握し、所有権ロールを置き換えるか奪取することで、USDREURRの不正な鋳造を可能にしました。攻撃者がオンチェーンで実現した利益は、不正に鋳造されたトークンの完全な想定価値よりも低かったものの、このインシデントはディペグを引き起こし、ミント権限の分離、署名者のセキュリティ、マルチシグガバナンス設計の脆弱性を露呈させました。

ステーブルコインプロトコルにとって、この種のインシデントは特に深刻です。なぜなら、攻撃者は直接国庫準備金から資金を流出させる必要がないからです。一度不正な鋳造が可能になると、償還能力に対する市場の信頼が即座に崩壊し、ペグが外れ、流動性が急速に悪化する可能性があるからです。

Verus: 約1,170万ドル

2026年5月18日、Verus-Ethereumブリッジが悪用され、ETH、tBTC、USDCを含む約1,170万ドルが流出しました。2026年5月23日時点で、盗まれた資金の約75%が返還されています。

根本的な原因は、Ethereum側のインポートパスにおける型検証の失敗でした。Verus-Ethereumブリッジは、公証された状態の下でVerus上に条件を満たすエクスポートオブジェクトが存在することを証明した後に、Ethereum側で資産を解放するように設計されています。しかし、脆弱性のあるロジックは「何らかのVerus側のオブジェクトが存在すること」のみを確認しており、証明されたオブジェクトが実際に支払い処理を目的とした正当な「プライマリ・エクスポート」であるかどうかの確認を行っていませんでした。その結果、攻撃者は手製の補助的なエクスポート出力を含む空白のエクスポートをVerus上で作成し、そのオブジェクトをEthereum上で証明することで、ブリッジに正常な価値を伴うエクスポートであると誤認させることができました。

その後、攻撃者は埋め込まれた転送ハッシュのコミットメントと一致するserializedTransfersを提供し、実質的に不正なインポートをEthereum側のチェックに通して、ブリッジから資産の解放をトリガーしました。このインシデントは、ブリッジのセキュリティが暗号証明の検証だけに依存するのではなく、オブジェクトの型、状態、フラグ、エンコーディング境界、実行セマンティクスの厳格な検証にも依存していることを示しています。もしプロトコルが「オブジェクトが存在すること」のみを証明し、それが「意図したアクションに対する正しいオブジェクトであること」を証明しなければ、有効な証明であっても無効な支払いを許可するために悪用される可能性があるのです。

公式ポストモーテム(事後分析)を読む

上記の情報は、2026年6月1日 00:00 UTC時点のデータに基づいています。

以上で4月のセキュリティインシデントの概要を終わります。ブロックチェーンのセキュリティインシデントやWeb3のセキュリティトレンドに関するより詳細な分析については、当社のリソースをご覧ください。

詳細については、当社のセキュリティインシデントライブラリをご確認ください。

常に情報を把握し、安全を維持しましょう!

Sign up for the latest updates
〜80万ドルの損失:HinkalのDouble-Spend攻撃 | BlockSec週次レポート
Security Insights

〜80万ドルの損失:HinkalのDouble-Spend攻撃 | BlockSec週次レポート

2026年6月29日〜7月5日の週次セキュリティレポートでは、Ethereumで約80万ドルの損失をもたらした1件の重大インシデントを取り上げます。Hinkalのシールドプールプロトコルが二重支払い攻撃により流出。旧ノート形式の欠陥を悪用し、単一デポジットから複数のnullifierを導出したと見られます。回路レベルの脆弱性、攻撃フロー、nullifierベースのプライバシープロトコルへの影響を分析します。

ニュースレター - 2026年6月
Security Insights

ニュースレター - 2026年6月

本月報は2026年6月の主要セキュリティインシデント3件を対象とし、確認済み損失総額は約2,200万ドルです。高度なハニーポット攻撃がトークン許可の未検証を悪用し、JaredFromSubwayのMEVボットから約1,500万ドルを流出。旧型Aztecロールアップ2件はプルーフ決済の境界ギャップにより約435万ドルを損失。SecondFiのEd25519実装欠陥により374ウォレットの秘密鍵が露出し約240万ドルが流出。3件に共通するのは、表面上は保たれているように見えたセキュリティ保証が実際には機能していなかった点です。

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート
Security Insights

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート

2026年6月22〜28日のブロックチェーンセキュリティ報告:EthereumとCardanoで約410万ドルの損失を確認。Taikoブリッジ攻撃はSGX署名鍵の露出と不完全なアテステーションポリシーを悪用し、悪意のあるプルーバー登録とL2状態証明の偽造を可能にした。SecondFiはEd25519ナンス導出の欠陥により、公開Cardanoトランザクションから秘密鍵の復元が可能となった。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit