Back to Blog

ニュースレター - 2026年2月

Code Auditing
March 1, 2026

2月におけるDeFiインシデント トップ3

YieldBlox DAO:~1000万ドル

2026年2月22日、StellarのBlend V2でYieldBlox DAOが運営するレンディングプールがエクスプロイトされ1000万ドル以上の損失が発生しました。

根本原因は操作可能な価格ソースへの依存でした。具体的には、SDEXのUSTRY/USDC市場は流動性が極めて低かったのです。攻撃者は正規の注文をクリアし、異常な注文を挿入することで、USTRYの価格を約1.06ドルから107ドルへと人為的に吊り上げました。その後、Reflectorはこの操作された値で価格フィードを更新し、レンディングプールはUSTRY担保を過大評価しました。この過大評価された担保を利用して、攻撃者は最小限のUSTRY担保を供給し、2つのトランザクションで約100万USDCと6120万XLMを借入しました。盗まれた資産はその後Base、BSC、Ethereumにブリッジされました。

重要なのは、このインシデントはコントラクトの脆弱性によって引き起こされたのではなく、プールオペレーターレベルでの設定ミスによるものであることです。このケースは、外部オラクルに依存するレンディングプロトコルにとって、堅牢で操作に強い価格フィードの極めて重要な重要性を浮き彫りにしています。プロトコルオペレーターは、オラクルソースの選択と継続的な監視において極度の注意を払う必要があります。

詳細な技術分析を見る

IoTex:~440万ドル

2026年2月21日、IoTeXのioTubeブリッジがセキュリティ侵害を受け440万ドル以上の損失が発生しました。

根本原因は、Ethereum側のバリデーターコントラクトオーナーの秘密鍵の漏洩でした。ブリッジアーキテクチャは、マルチシグネチャやタイムロックの保護なしに単一のオーナーに完全な管理者権限を付与していたため、攻撃者はバリデーターコントラクトのupgrade()関数を呼び出して、TokenSafeMintPool両方のコントラクトの所有権を攻撃者が制御するアドレスに移転することができました。攻撃者はその後、MintPoolを通じて4億1000万以上のCIOTXをミントし、TokenSafeから約440万ドル相当のブリッジ準備資産(USDC、USDT、WBTC、WETH、BUSDなど)をドレインしました。プロジェクトチームによると、2月26日現在、ミントされたCIOTXトークンの約3億5500万が永久にロックまたは凍結されています。

このインシデントは、単一点障害の秘密鍵漏洩の典型例であり、クロスチェーンブリッジアーキテクチャにおける中央集権的な管理者制御の重大なリスクを浮き彫りにしています。プロジェクトチームは、特にコントラクトのアップグレード、資産の保管、トークンのミントといった高リスクな操作において、重要な権限を単一のアカウントに集中させることを避けるべきです。

CrossCurve:~280万ドル

2026年2月2日、CrossCurveブリッジプロトコルがEthereum、Arbitrum、Optimismを含む複数のチェーンでエクスプロイトされ、約280万ドルの損失が発生しました。

根本原因は、ReceiverAxelarコントラクトが、Axelarゲートウェイの標準検証プロセスを回避する、パーミッションレスなexpressExecute()関数を公開していたことでした。Axelarの意図されたセキュリティモデルでは、クロスチェーンメッセージはまずゲートウェイによって承認され、その後宛先チェーンでvalidateContractCall()を通じて検証される必要があります。しかし、expressExecute()パスはこのプロセスを完全にスキップし、sourceChainsourceAddressパラメータを使用したホワイトリストチェックのみに依存していました。しかし、両方のパラメータはユーザー指定可能であり、攻撃者によってなりすまされる可能性があります。攻撃者は、ホワイトリストに登録されたピアアドレスを持つ偽のメッセージを作成することで、すべてのセキュリティチェックを回避し、Eywa CLP Portalunlock()関数をトリガーして、9億9978万7453 EYWAトークンを解放しました。

このインシデントは、高速実行パスも標準実行フローと同じセキュリティ仮定、検証ロジック、アクセス制御保証を強制する必要があることを示しています。信頼モデルを弱めるいかなる最適化も、効果的にセキュリティバイパスを作成します。

上記の情報は、2026年2月28日午前0時(UTC)時点のデータに基づいています。

これで2月のセキュリティインシデント速報は終了です。

セキュリティインシデントライブラリでさらに学ぶことができます。

情報収集を怠らず、安全を確保してください!

Sign up for the latest updates
Building a Secure Stablecoin Payment Network: BlockSec Partners with Morph
Partnership

Building a Secure Stablecoin Payment Network: BlockSec Partners with Morph

BlockSec has partnered with Morph as an official audit partner for the $150M Morph Payment Accelerator. By offering exclusive discounts on smart contract audits and penetration testing, BlockSec provides institutional-grade security to payment builders, ensuring a safe and resilient foundation for the future of global stablecoin payments.

Weekly Web3 Security Incident Roundup | Mar 9 – Mar 15, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 9 – Mar 15, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 9 and March 15, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.66M. Incidents include a $1.01M AAVE incorrect liquidation caused by oracle misconfiguration, a $242K exploit on the deflationary token MT due to flawed trading restrictions, a $149K exploit on the burn-to-earn protocol DBXen from `_msgSender()` and `msg.sender` inconsistency, and a $131K attack on AM Token exploiting a flawed delayed-burn mechanism. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Venus Thena (THE) Incident: What Broke and What Was Missed

Venus Thena (THE) Incident: What Broke and What Was Missed

On March 15, 2026, an attacker bypassed the THE (Thena) supply cap on Venus Protocol (BNB Chain) through a donation attack, inflating a collateral position to 3.67x the intended limit and borrowing ~$14.9M in assets. Both sides lost money on-chain: Venus was left with ~$2.15M in bad debt after 254 liquidation bots competed across 8,048 transactions, while the attacker retained only ~$5.2M against a $9.92M investment. This deep dive examines what broke across three lines of defense (exposure limits, collateral valuation, and liquidation) and the monitoring gaps that left months of on-chain warning signals unacted upon.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit