12月のDeFiインシデント トップ3
Yearn Finance: 約900万ドル
12月1日、Yearn FinanceのEthereum上のyETHプールがエクスプロイトされ、総損失額は900万ドルを超えました。外部セキュリティチームの支援により、同日中に約239万ドル(857.49 pxETH)が無事回収されました。
脆弱性は、新しい供給量近似値を計算するために反復法を使用していた_calc_supply()関数にありました。安全でない数学演算により、丸め誤差とアンダーフロー問題が発生しました。脆弱性自体は比較的単純に見えましたが、攻撃者は巧妙な手順を実行し、プールの供給量をゼロまで操作してから利益を抽出しました。
16日後、プロトコルはレガシーバージョン(iEarn)の古いコントラクトが侵害されたことで、2度目の侵害を受けました。このインシデントは、2023年に特定されていた既知の設定ミス脆弱性を悪用したものです。2度目のインシデントによる損失は30万ドルで、プロトコルの月間総影響額は約1000万ドルに達しました。
詳細な攻撃分析については、公式ポストモーテムをお読みください
Trust Wallet: 約700万ドル
クリスマス当日、Trust WalletのChrome拡張機能(v2.68)で重大なセキュリティ侵害が発生し、ユーザー資金約700万ドルが盗難されました。
根本原因は、コードベースに注入された悪意のあるバックドアであり、開発チームを標的としたソーシャルエンジニアリング攻撃に由来すると疑われています。このバックドア手法は、攻撃者が管理するサーバーにユーザーのニーモニックをアップロードし、この特定のバージョンの拡張機能を使用して生成またはインポートされたニーモニックを侵害します。その後、攻撃者は複数のチェーンでユーザー資金を drain し、KYC不要の取引所に送金しました。
インシデント後、Trust Walletチームはバックドアを削除するための緊急アップデートをリリースし、影響を受けたユーザーへの補償計画を約束しました。この侵害は、セキュリティがプロトコルのライフサイクル全体に及ぶ必要があることを痛感させるものです。オンチェーンコード監査を超えて、オフチェーンインフラストラクチャの保護と継続的な監視の維持は、ユーザー資産の保護に不可欠です。
Ribbon Finance: 約270万ドル
12月12日、Ribbon Finance on Ethereumが攻撃され、270万ドルの損失が発生しました。
根本原因は、Oracleコントラクト内のsetAssetPricer()関数における不適切なアクセス制御であり、誰でも自由に資産価格を設定できる状態でした。攻撃者は、プロトコルがオプションを週単位でしか決済しないため、検出を回避するために、まず正規に見える価格オラクルを設定してこれを悪用しました。コールオプションポジションを作成・購入した後、攻撃者は権利行使日を待ってコントラクトをアップグレードし、無害なオラクルを、人工的に高騰した資産価格を設定する悪意のあるオラクルに置き換えてから、オプションを権利行使して利益を抽出しました。
このインシデントは、アクセス制御がスマートコントラクトセキュリティの重要な側面であり続けていることを浮き彫りにしています。権限管理における単一のミスが、プロトコルを重大なリスクにさらす可能性があります。展開前にすべての管理機能を検証する包括的なセキュリティ監査は、このような脆弱性を特定して対処するために不可欠です。
上記の情報は、2025年12月30日午前0時(UTC)時点のデータに基づいています。
12月のセキュリティインシデント概要は以上です。
セキュリティインシデントライブラリで詳細をご覧ください。
常に情報収集し、安全を確保しましょう!
