ニュースレター - 2026年2月

ニュースレター - 2026年2月

2月におけるDeFiインシデント トップ3

YieldBlox DAO:~1000万ドル

2026年2月22日、StellarのBlend V2でYieldBlox DAOが運営するレンディングプールがエクスプロイトされ1000万ドル以上の損失が発生しました。

根本原因は操作可能な価格ソースへの依存でした。具体的には、SDEXのUSTRY/USDC市場は流動性が極めて低かったのです。攻撃者は正規の注文をクリアし、異常な注文を挿入することで、USTRYの価格を約1.06ドルから107ドルへと人為的に吊り上げました。その後、Reflectorはこの操作された値で価格フィードを更新し、レンディングプールはUSTRY担保を過大評価しました。この過大評価された担保を利用して、攻撃者は最小限のUSTRY担保を供給し、2つのトランザクションで約100万USDCと6120万XLMを借入しました。盗まれた資産はその後Base、BSC、Ethereumにブリッジされました。

重要なのは、このインシデントはコントラクトの脆弱性によって引き起こされたのではなく、プールオペレーターレベルでの設定ミスによるものであることです。このケースは、外部オラクルに依存するレンディングプロトコルにとって、堅牢で操作に強い価格フィードの極めて重要な重要性を浮き彫りにしています。プロトコルオペレーターは、オラクルソースの選択と継続的な監視において極度の注意を払う必要があります。

詳細な技術分析を見る

IoTex:~440万ドル

2026年2月21日、IoTeXのioTubeブリッジがセキュリティ侵害を受け440万ドル以上の損失が発生しました。

根本原因は、Ethereum側のバリデーターコントラクトオーナーの秘密鍵の漏洩でした。ブリッジアーキテクチャは、マルチシグネチャやタイムロックの保護なしに単一のオーナーに完全な管理者権限を付与していたため、攻撃者はバリデーターコントラクトのupgrade()関数を呼び出して、TokenSafeMintPool両方のコントラクトの所有権を攻撃者が制御するアドレスに移転することができました。攻撃者はその後、MintPoolを通じて4億1000万以上のCIOTXをミントし、TokenSafeから約440万ドル相当のブリッジ準備資産(USDC、USDT、WBTC、WETH、BUSDなど)をドレインしました。プロジェクトチームによると、2月26日現在、ミントされたCIOTXトークンの約3億5500万が永久にロックまたは凍結されています。

このインシデントは、単一点障害の秘密鍵漏洩の典型例であり、クロスチェーンブリッジアーキテクチャにおける中央集権的な管理者制御の重大なリスクを浮き彫りにしています。プロジェクトチームは、特にコントラクトのアップグレード、資産の保管、トークンのミントといった高リスクな操作において、重要な権限を単一のアカウントに集中させることを避けるべきです。

CrossCurve:~280万ドル

2026年2月2日、CrossCurveブリッジプロトコルがEthereum、Arbitrum、Optimismを含む複数のチェーンでエクスプロイトされ、約280万ドルの損失が発生しました。

根本原因は、ReceiverAxelarコントラクトが、Axelarゲートウェイの標準検証プロセスを回避する、パーミッションレスなexpressExecute()関数を公開していたことでした。Axelarの意図されたセキュリティモデルでは、クロスチェーンメッセージはまずゲートウェイによって承認され、その後宛先チェーンでvalidateContractCall()を通じて検証される必要があります。しかし、expressExecute()パスはこのプロセスを完全にスキップし、sourceChainsourceAddressパラメータを使用したホワイトリストチェックのみに依存していました。しかし、両方のパラメータはユーザー指定可能であり、攻撃者によってなりすまされる可能性があります。攻撃者は、ホワイトリストに登録されたピアアドレスを持つ偽のメッセージを作成することで、すべてのセキュリティチェックを回避し、Eywa CLP Portalunlock()関数をトリガーして、9億9978万7453 EYWAトークンを解放しました。

このインシデントは、高速実行パスも標準実行フローと同じセキュリティ仮定、検証ロジック、アクセス制御保証を強制する必要があることを示しています。信頼モデルを弱めるいかなる最適化も、効果的にセキュリティバイパスを作成します。

上記の情報は、2026年2月28日午前0時(UTC)時点のデータに基づいています。

これで2月のセキュリティインシデント速報は終了です。

セキュリティインシデントライブラリでさらに学ぶことができます。

情報収集を怠らず、安全を確保してください!

Sign up for the latest updates
Newsletter - February 2026

Newsletter - February 2026

February 2026 saw three major DeFi security incidents: YieldBlox DAO lost ~$10M due to oracle price manipulation, IoTeX’s ioTube bridge suffered ~$4.4M from a private key compromise, and CrossCurve incurred ~$2.8M after a cross-chain validation bypass.

BlockSec Releases the 2025 Crypto Crime Report

BlockSec Releases the 2025 Crypto Crime Report

This 36-page report, based on data analysis and on-chain evidence, includes breakdowns of common real-world cases, showing the big picture of cryptocurrency crime in 2025. It also covers the main features, structure, and trends in this field.

YieldBlox DAO Incident on Stellar: Oracle Misconfiguration Enabled a $10M+ Drain

YieldBlox DAO Incident on Stellar: Oracle Misconfiguration Enabled a $10M+ Drain

In-depth analysis of the YieldBlox DAO pool exploit on Blend V2 (Stellar), showing how USTRY/USDC price manipulation and oracle misconfiguration enabled a $10M+ drain.