Back to Blog

ニュースレター - 2025年12月

Code Auditing
December 31, 2025
3 min read

12月のDeFiインシデントトップ3

Yearn Finance:約900万ドル

12月1日、Yearn FinanceのEthereum上のyETHプールがエクスプロイトされました。これにより、総損失額は900万ドルを超えました。外部セキュリティチームの支援により、同日中に約239万ドル(857.49 pxETH)が救出に成功しました

脆弱性は_calc_supply()関数にあり、この関数は反復的な方法で新しい供給量を計算していました。安全でない数学演算により、丸め誤差とアンダーフローの問題が発生しました。脆弱性自体は比較的単純に見えましたが、攻撃者は巧妙な手順を実行しました。プールの供給量をゼロまで操作してから利益を抽出しました。

16日後、プロトコルはレガシーバージョン(iEarn)の古いコントラクトが侵害されたことで、2度目の侵害を受けました。このインシデントは、2023年に以前特定された既知の設定ミス脆弱性を悪用したものです。2度目のインシデントにより30万ドルの損失が発生し、プロトコルの月間総影響額は約1000万ドルに達しました。

詳細な攻撃分析については、公式の事後分析をお読みください

Trust Wallet:約700万ドル

クリスマス当日、Trust WalletのChrome拡張機能(v2.68)に重大なセキュリティ侵害が発生し、ユーザー資金約700万ドルが盗難されました。

根本原因は、コードベースに注入された悪意のあるバックドアであり、開発チームを標的としたソーシャルエンジニアリング攻撃に起因すると疑われています。このバックドア手法は、攻撃者が制御するサーバーにユーザーのニーモニックをアップロードし、この特定のバージョンの拡張機能を使用して生成またはインポートされたニーモニックを危険にさらします。その後、攻撃者は複数のチェーンでユーザー資金を引き出し、KYC不要の取引所に送金しました

インシデント後、Trust Walletチームはバックドアを削除するための緊急アップデートをリリースし、影響を受けたユーザーへの補償計画を約束しました。この侵害は、セキュリティがプロトコルのライフサイクル全体にわたって網羅されなければならないという厳しい教訓となります。オンチェーンコード監査を超えて、オフチェーンインフラストラクチャの確保と継続的な監視は、ユーザー資産を保護するために不可欠です。

Ribbon Finance:約270万ドル

12月12日、Ribbon FinanceのEthereum上で攻撃が発生し、270万ドルの損失を招きました。

根本原因は、Oracleコントラクト内のsetAssetPricer()関数における不適切なアクセス制御であり、誰でも任意に資産価格を設定できる状態でした。攻撃者は、プロトコルがオプションを丸ごと1週間単位でしか決済しないため、検知を避けるためにまず正規に見える価格オラクルを設定することでこれを悪用しました。コールオプションポジションを作成して購入した後、攻撃者は行使日を待ってコントラクトをアップグレードし、無害なオラクルを人工的に誇張された資産価格を設定する悪意のあるオラクルと入れ替えて、オプションを行使して利益を抽出しました。

このインシデントは、アクセス制御がスマートコントラクトセキュリティの重要な側面であり続けることを浮き彫りにしています。権限管理における単一の不注意が、プロトコルを重大なリスクにさらす可能性があります。展開前にすべての管理機能を調査する包括的なセキュリティ監査は、そのような脆弱性を特定し対処するために不可欠です。

上記の情報は、2025年12月30日午前0時(UTC)時点のデータに基づいています。

これは12月のセキュリティインシデント速報です。

セキュリティインシデントライブラリで詳細をご覧ください。

常に情報を入手し、安全を確保してください!

Sign up for the latest updates
〜80万ドルの損失:HinkalのDouble-Spend攻撃 | BlockSec週次レポート
Security Insights

〜80万ドルの損失:HinkalのDouble-Spend攻撃 | BlockSec週次レポート

2026年6月29日〜7月5日の週次セキュリティレポートでは、Ethereumで約80万ドルの損失をもたらした1件の重大インシデントを取り上げます。Hinkalのシールドプールプロトコルが二重支払い攻撃により流出。旧ノート形式の欠陥を悪用し、単一デポジットから複数のnullifierを導出したと見られます。回路レベルの脆弱性、攻撃フロー、nullifierベースのプライバシープロトコルへの影響を分析します。

ニュースレター - 2026年6月
Security Insights

ニュースレター - 2026年6月

本月報は2026年6月の主要セキュリティインシデント3件を対象とし、確認済み損失総額は約2,200万ドルです。高度なハニーポット攻撃がトークン許可の未検証を悪用し、JaredFromSubwayのMEVボットから約1,500万ドルを流出。旧型Aztecロールアップ2件はプルーフ決済の境界ギャップにより約435万ドルを損失。SecondFiのEd25519実装欠陥により374ウォレットの秘密鍵が露出し約240万ドルが流出。3件に共通するのは、表面上は保たれているように見えたセキュリティ保証が実際には機能していなかった点です。

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート
Security Insights

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート

2026年6月22〜28日のブロックチェーンセキュリティ報告:EthereumとCardanoで約410万ドルの損失を確認。Taikoブリッジ攻撃はSGX署名鍵の露出と不完全なアテステーションポリシーを悪用し、悪意のあるプルーバー登録とL2状態証明の偽造を可能にした。SecondFiはEd25519ナンス導出の欠陥により、公開Cardanoトランザクションから秘密鍵の復元が可能となった。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit