Back to Blog

ニュースレター - 2026年2月

Code Auditing
March 1, 2026

2月におけるDeFiインシデント トップ3

YieldBlox DAO:~1000万ドル

2026年2月22日、StellarのBlend V2でYieldBlox DAOが運営するレンディングプールがエクスプロイトされ1000万ドル以上の損失が発生しました。

根本原因は操作可能な価格ソースへの依存でした。具体的には、SDEXのUSTRY/USDC市場は流動性が極めて低かったのです。攻撃者は正規の注文をクリアし、異常な注文を挿入することで、USTRYの価格を約1.06ドルから107ドルへと人為的に吊り上げました。その後、Reflectorはこの操作された値で価格フィードを更新し、レンディングプールはUSTRY担保を過大評価しました。この過大評価された担保を利用して、攻撃者は最小限のUSTRY担保を供給し、2つのトランザクションで約100万USDCと6120万XLMを借入しました。盗まれた資産はその後Base、BSC、Ethereumにブリッジされました。

重要なのは、このインシデントはコントラクトの脆弱性によって引き起こされたのではなく、プールオペレーターレベルでの設定ミスによるものであることです。このケースは、外部オラクルに依存するレンディングプロトコルにとって、堅牢で操作に強い価格フィードの極めて重要な重要性を浮き彫りにしています。プロトコルオペレーターは、オラクルソースの選択と継続的な監視において極度の注意を払う必要があります。

詳細な技術分析を見る

IoTex:~440万ドル

2026年2月21日、IoTeXのioTubeブリッジがセキュリティ侵害を受け440万ドル以上の損失が発生しました。

根本原因は、Ethereum側のバリデーターコントラクトオーナーの秘密鍵の漏洩でした。ブリッジアーキテクチャは、マルチシグネチャやタイムロックの保護なしに単一のオーナーに完全な管理者権限を付与していたため、攻撃者はバリデーターコントラクトのupgrade()関数を呼び出して、TokenSafeMintPool両方のコントラクトの所有権を攻撃者が制御するアドレスに移転することができました。攻撃者はその後、MintPoolを通じて4億1000万以上のCIOTXをミントし、TokenSafeから約440万ドル相当のブリッジ準備資産(USDC、USDT、WBTC、WETH、BUSDなど)をドレインしました。プロジェクトチームによると、2月26日現在、ミントされたCIOTXトークンの約3億5500万が永久にロックまたは凍結されています。

このインシデントは、単一点障害の秘密鍵漏洩の典型例であり、クロスチェーンブリッジアーキテクチャにおける中央集権的な管理者制御の重大なリスクを浮き彫りにしています。プロジェクトチームは、特にコントラクトのアップグレード、資産の保管、トークンのミントといった高リスクな操作において、重要な権限を単一のアカウントに集中させることを避けるべきです。

CrossCurve:~280万ドル

2026年2月2日、CrossCurveブリッジプロトコルがEthereum、Arbitrum、Optimismを含む複数のチェーンでエクスプロイトされ、約280万ドルの損失が発生しました。

根本原因は、ReceiverAxelarコントラクトが、Axelarゲートウェイの標準検証プロセスを回避する、パーミッションレスなexpressExecute()関数を公開していたことでした。Axelarの意図されたセキュリティモデルでは、クロスチェーンメッセージはまずゲートウェイによって承認され、その後宛先チェーンでvalidateContractCall()を通じて検証される必要があります。しかし、expressExecute()パスはこのプロセスを完全にスキップし、sourceChainsourceAddressパラメータを使用したホワイトリストチェックのみに依存していました。しかし、両方のパラメータはユーザー指定可能であり、攻撃者によってなりすまされる可能性があります。攻撃者は、ホワイトリストに登録されたピアアドレスを持つ偽のメッセージを作成することで、すべてのセキュリティチェックを回避し、Eywa CLP Portalunlock()関数をトリガーして、9億9978万7453 EYWAトークンを解放しました。

このインシデントは、高速実行パスも標準実行フローと同じセキュリティ仮定、検証ロジック、アクセス制御保証を強制する必要があることを示しています。信頼モデルを弱めるいかなる最適化も、効果的にセキュリティバイパスを作成します。

上記の情報は、2026年2月28日午前0時(UTC)時点のデータに基づいています。

これで2月のセキュリティインシデント速報は終了です。

セキュリティインシデントライブラリでさらに学ぶことができます。

情報収集を怠らず、安全を確保してください!

Sign up for the latest updates
〜1800万ドルの損失:jaredFromSubway、Aztecなど|BlockSecウィークリー
Security Insights

〜1800万ドルの損失:jaredFromSubway、Aztecなど|BlockSecウィークリー

ブロックチェーンセキュリティ週次レポート(2026年6月15日〜21日):EthereumとBNB Chainで3件の重大インシデントが発生し、総損失約1830万ドル。注目のjaredFromSubway事件では、MEVボットが裁定取引のために自身の資産を未検証の第三者コントラクトに承認するという逆承認攻撃が判明。攻撃者は実イベントを発行しながら承認を消費しない偽トークンとプールを構築し、損失は約1500万ドル。またAztecでは3日間で2度目の攻撃が発生、エスケープハッチZK回路でold_data_rootの等価制約欠如を悪用し、偽マークルツリーに対するノート所有権の証明が可能となった。

Web3コンパニオン:オープンソースのセキュアなエージェント型ウォレット

Web3コンパニオン:オープンソースのセキュアなエージェント型ウォレット

BlockSecがWeb3 Companionをオープンソース化。セキュリティ優先のエージェント型ウォレットで、自社AIエージェントを非信頼として扱い、キー分離・厳格なポリシー・Passkeyでオンチェーン資産を保護する。

〜598万ドルの損失:Aztec、Raydiumなど|BlockSec週次レポート
Security Insights

〜598万ドルの損失:Aztec、Raydiumなど|BlockSec週次レポート

週次ブロックチェーンセキュリティレポート(2026年6月8日〜15日)では、EthereumとSolanaで4件の重大インシデントを分析し、総損失は約598万ドル。Aztec Connectでは入力検証の欠如によりロールアップの証明経路とL1決済が不整合に。RaydiumではレガシーAMM v3の検証不備でLPトークン償還計算が操作され4プールが流出。両脆弱性は悪用前から数年間存在。入力検証不備、整数オーバーフロー、ガバナンス乗っ取りも検証。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit