Back to Blog

ニュースレター - 2026年2月

Code Auditing
March 1, 2026

2月におけるDeFiインシデント トップ3

YieldBlox DAO:~1000万ドル

2026年2月22日、StellarのBlend V2でYieldBlox DAOが運営するレンディングプールがエクスプロイトされ1000万ドル以上の損失が発生しました。

根本原因は操作可能な価格ソースへの依存でした。具体的には、SDEXのUSTRY/USDC市場は流動性が極めて低かったのです。攻撃者は正規の注文をクリアし、異常な注文を挿入することで、USTRYの価格を約1.06ドルから107ドルへと人為的に吊り上げました。その後、Reflectorはこの操作された値で価格フィードを更新し、レンディングプールはUSTRY担保を過大評価しました。この過大評価された担保を利用して、攻撃者は最小限のUSTRY担保を供給し、2つのトランザクションで約100万USDCと6120万XLMを借入しました。盗まれた資産はその後Base、BSC、Ethereumにブリッジされました。

重要なのは、このインシデントはコントラクトの脆弱性によって引き起こされたのではなく、プールオペレーターレベルでの設定ミスによるものであることです。このケースは、外部オラクルに依存するレンディングプロトコルにとって、堅牢で操作に強い価格フィードの極めて重要な重要性を浮き彫りにしています。プロトコルオペレーターは、オラクルソースの選択と継続的な監視において極度の注意を払う必要があります。

詳細な技術分析を見る

IoTex:~440万ドル

2026年2月21日、IoTeXのioTubeブリッジがセキュリティ侵害を受け440万ドル以上の損失が発生しました。

根本原因は、Ethereum側のバリデーターコントラクトオーナーの秘密鍵の漏洩でした。ブリッジアーキテクチャは、マルチシグネチャやタイムロックの保護なしに単一のオーナーに完全な管理者権限を付与していたため、攻撃者はバリデーターコントラクトのupgrade()関数を呼び出して、TokenSafeMintPool両方のコントラクトの所有権を攻撃者が制御するアドレスに移転することができました。攻撃者はその後、MintPoolを通じて4億1000万以上のCIOTXをミントし、TokenSafeから約440万ドル相当のブリッジ準備資産(USDC、USDT、WBTC、WETH、BUSDなど)をドレインしました。プロジェクトチームによると、2月26日現在、ミントされたCIOTXトークンの約3億5500万が永久にロックまたは凍結されています。

このインシデントは、単一点障害の秘密鍵漏洩の典型例であり、クロスチェーンブリッジアーキテクチャにおける中央集権的な管理者制御の重大なリスクを浮き彫りにしています。プロジェクトチームは、特にコントラクトのアップグレード、資産の保管、トークンのミントといった高リスクな操作において、重要な権限を単一のアカウントに集中させることを避けるべきです。

CrossCurve:~280万ドル

2026年2月2日、CrossCurveブリッジプロトコルがEthereum、Arbitrum、Optimismを含む複数のチェーンでエクスプロイトされ、約280万ドルの損失が発生しました。

根本原因は、ReceiverAxelarコントラクトが、Axelarゲートウェイの標準検証プロセスを回避する、パーミッションレスなexpressExecute()関数を公開していたことでした。Axelarの意図されたセキュリティモデルでは、クロスチェーンメッセージはまずゲートウェイによって承認され、その後宛先チェーンでvalidateContractCall()を通じて検証される必要があります。しかし、expressExecute()パスはこのプロセスを完全にスキップし、sourceChainsourceAddressパラメータを使用したホワイトリストチェックのみに依存していました。しかし、両方のパラメータはユーザー指定可能であり、攻撃者によってなりすまされる可能性があります。攻撃者は、ホワイトリストに登録されたピアアドレスを持つ偽のメッセージを作成することで、すべてのセキュリティチェックを回避し、Eywa CLP Portalunlock()関数をトリガーして、9億9978万7453 EYWAトークンを解放しました。

このインシデントは、高速実行パスも標準実行フローと同じセキュリティ仮定、検証ロジック、アクセス制御保証を強制する必要があることを示しています。信頼モデルを弱めるいかなる最適化も、効果的にセキュリティバイパスを作成します。

上記の情報は、2026年2月28日午前0時(UTC)時点のデータに基づいています。

これで2月のセキュリティインシデント速報は終了です。

セキュリティインシデントライブラリでさらに学ぶことができます。

情報収集を怠らず、安全を確保してください!

Sign up for the latest updates
Tether Freezes $6.76M USDT Linked to Iran's IRGC & Houthi Forces: Why On-Chain Compliance is Now a Geopolitical Battlefield
Security Insights

Tether Freezes $6.76M USDT Linked to Iran's IRGC & Houthi Forces: Why On-Chain Compliance is Now a Geopolitical Battlefield

Looking ahead, targeted freezing events like this $6.76M USDT action will only become more common. On-chain data analysis is improving. Stablecoin issuers are also working closely with regulators. As a result, hidden illicit financial networks will be exposed.

Weekly Web3 Security Incident Roundup | Mar 2 – Mar 8, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 2 – Mar 8, 2026

During the week of March 2 to March 8, 2026, seven blockchain security incidents were reported with total losses of ~$3.25M. The incidents occurred across Base, BNB Chain, and Ethereum, exposing critical vulnerabilities in smart contract business logic, token deflationary mechanics, and asset price manipulation. The primary causes included a double-minting logic flaw during full token deposits that allowed an attacker to exponentially inflate their balances through repeated burn-and-mint cycles, a price manipulation vulnerability in an AMM-based lending market where artificially inflated vault shares created divergent price anchors to incorrectly force healthy positions into liquidation, and a flawed access control implementation relying on trivially spoofed contract interfaces that enabled attackers to bypass authorization to batch-mint and dump arbitrary tokens.

Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026

During the week of February 23 to March 1, 2026, seven blockchain security incidents were reported with total losses of ~$13M. The incidents affected multiple protocols, exposing critical weaknesses in oracle design/configuration, cryptographic verification, and core business logic. The primary drivers included oracle manipulation/misconfiguration that led to the largest loss at YieldBloxDAO (~$10M), a crypto-proof verification flaw that enabled the FOOMCASH (~$2.26M) exploit, and additional token design and logic errors impacting Ploutos, LAXO, STO, HedgePay, and an unknown contract, underscoring the need for rigorous audits and continuous monitoring across all protocol layers.