12月のDeFiインシデントトップ3
Yearn Finance:約900万ドル
12月1日、Yearn FinanceのEthereum上のyETHプールがエクスプロイトされました。これにより、総損失額は900万ドルを超えました。外部セキュリティチームの支援により、同日中に約239万ドル(857.49 pxETH)が救出に成功しました。
脆弱性は_calc_supply()関数にあり、この関数は反復的な方法で新しい供給量を計算していました。安全でない数学演算により、丸め誤差とアンダーフローの問題が発生しました。脆弱性自体は比較的単純に見えましたが、攻撃者は巧妙な手順を実行しました。プールの供給量をゼロまで操作してから利益を抽出しました。
16日後、プロトコルはレガシーバージョン(iEarn)の古いコントラクトが侵害されたことで、2度目の侵害を受けました。このインシデントは、2023年に以前特定された既知の設定ミス脆弱性を悪用したものです。2度目のインシデントにより30万ドルの損失が発生し、プロトコルの月間総影響額は約1000万ドルに達しました。
Trust Wallet:約700万ドル
クリスマス当日、Trust WalletのChrome拡張機能(v2.68)に重大なセキュリティ侵害が発生し、ユーザー資金約700万ドルが盗難されました。
根本原因は、コードベースに注入された悪意のあるバックドアであり、開発チームを標的としたソーシャルエンジニアリング攻撃に起因すると疑われています。このバックドア手法は、攻撃者が制御するサーバーにユーザーのニーモニックをアップロードし、この特定のバージョンの拡張機能を使用して生成またはインポートされたニーモニックを危険にさらします。その後、攻撃者は複数のチェーンでユーザー資金を引き出し、KYC不要の取引所に送金しました。
インシデント後、Trust Walletチームはバックドアを削除するための緊急アップデートをリリースし、影響を受けたユーザーへの補償計画を約束しました。この侵害は、セキュリティがプロトコルのライフサイクル全体にわたって網羅されなければならないという厳しい教訓となります。オンチェーンコード監査を超えて、オフチェーンインフラストラクチャの確保と継続的な監視は、ユーザー資産を保護するために不可欠です。
Ribbon Finance:約270万ドル
12月12日、Ribbon FinanceのEthereum上で攻撃が発生し、270万ドルの損失を招きました。
根本原因は、Oracleコントラクト内のsetAssetPricer()関数における不適切なアクセス制御であり、誰でも任意に資産価格を設定できる状態でした。攻撃者は、プロトコルがオプションを丸ごと1週間単位でしか決済しないため、検知を避けるためにまず正規に見える価格オラクルを設定することでこれを悪用しました。コールオプションポジションを作成して購入した後、攻撃者は行使日を待ってコントラクトをアップグレードし、無害なオラクルを人工的に誇張された資産価格を設定する悪意のあるオラクルと入れ替えて、オプションを行使して利益を抽出しました。
このインシデントは、アクセス制御がスマートコントラクトセキュリティの重要な側面であり続けることを浮き彫りにしています。権限管理における単一の不注意が、プロトコルを重大なリスクにさらす可能性があります。展開前にすべての管理機能を調査する包括的なセキュリティ監査は、そのような脆弱性を特定し対処するために不可欠です。
上記の情報は、2025年12月30日午前0時(UTC)時点のデータに基づいています。
これは12月のセキュリティインシデント速報です。
セキュリティインシデントライブラリで詳細をご覧ください。
常に情報を入手し、安全を確保してください!
