Back to Blog

ニュースレター - 2026年2月

Code Auditing
March 1, 2026

2月におけるDeFiインシデント トップ3

YieldBlox DAO:~1000万ドル

2026年2月22日、StellarのBlend V2でYieldBlox DAOが運営するレンディングプールがエクスプロイトされ1000万ドル以上の損失が発生しました。

根本原因は操作可能な価格ソースへの依存でした。具体的には、SDEXのUSTRY/USDC市場は流動性が極めて低かったのです。攻撃者は正規の注文をクリアし、異常な注文を挿入することで、USTRYの価格を約1.06ドルから107ドルへと人為的に吊り上げました。その後、Reflectorはこの操作された値で価格フィードを更新し、レンディングプールはUSTRY担保を過大評価しました。この過大評価された担保を利用して、攻撃者は最小限のUSTRY担保を供給し、2つのトランザクションで約100万USDCと6120万XLMを借入しました。盗まれた資産はその後Base、BSC、Ethereumにブリッジされました。

重要なのは、このインシデントはコントラクトの脆弱性によって引き起こされたのではなく、プールオペレーターレベルでの設定ミスによるものであることです。このケースは、外部オラクルに依存するレンディングプロトコルにとって、堅牢で操作に強い価格フィードの極めて重要な重要性を浮き彫りにしています。プロトコルオペレーターは、オラクルソースの選択と継続的な監視において極度の注意を払う必要があります。

詳細な技術分析を見る

IoTex:~440万ドル

2026年2月21日、IoTeXのioTubeブリッジがセキュリティ侵害を受け440万ドル以上の損失が発生しました。

根本原因は、Ethereum側のバリデーターコントラクトオーナーの秘密鍵の漏洩でした。ブリッジアーキテクチャは、マルチシグネチャやタイムロックの保護なしに単一のオーナーに完全な管理者権限を付与していたため、攻撃者はバリデーターコントラクトのupgrade()関数を呼び出して、TokenSafeMintPool両方のコントラクトの所有権を攻撃者が制御するアドレスに移転することができました。攻撃者はその後、MintPoolを通じて4億1000万以上のCIOTXをミントし、TokenSafeから約440万ドル相当のブリッジ準備資産(USDC、USDT、WBTC、WETH、BUSDなど)をドレインしました。プロジェクトチームによると、2月26日現在、ミントされたCIOTXトークンの約3億5500万が永久にロックまたは凍結されています。

このインシデントは、単一点障害の秘密鍵漏洩の典型例であり、クロスチェーンブリッジアーキテクチャにおける中央集権的な管理者制御の重大なリスクを浮き彫りにしています。プロジェクトチームは、特にコントラクトのアップグレード、資産の保管、トークンのミントといった高リスクな操作において、重要な権限を単一のアカウントに集中させることを避けるべきです。

CrossCurve:~280万ドル

2026年2月2日、CrossCurveブリッジプロトコルがEthereum、Arbitrum、Optimismを含む複数のチェーンでエクスプロイトされ、約280万ドルの損失が発生しました。

根本原因は、ReceiverAxelarコントラクトが、Axelarゲートウェイの標準検証プロセスを回避する、パーミッションレスなexpressExecute()関数を公開していたことでした。Axelarの意図されたセキュリティモデルでは、クロスチェーンメッセージはまずゲートウェイによって承認され、その後宛先チェーンでvalidateContractCall()を通じて検証される必要があります。しかし、expressExecute()パスはこのプロセスを完全にスキップし、sourceChainsourceAddressパラメータを使用したホワイトリストチェックのみに依存していました。しかし、両方のパラメータはユーザー指定可能であり、攻撃者によってなりすまされる可能性があります。攻撃者は、ホワイトリストに登録されたピアアドレスを持つ偽のメッセージを作成することで、すべてのセキュリティチェックを回避し、Eywa CLP Portalunlock()関数をトリガーして、9億9978万7453 EYWAトークンを解放しました。

このインシデントは、高速実行パスも標準実行フローと同じセキュリティ仮定、検証ロジック、アクセス制御保証を強制する必要があることを示しています。信頼モデルを弱めるいかなる最適化も、効果的にセキュリティバイパスを作成します。

上記の情報は、2026年2月28日午前0時(UTC)時点のデータに基づいています。

これで2月のセキュリティインシデント速報は終了です。

セキュリティインシデントライブラリでさらに学ぶことができます。

情報収集を怠らず、安全を確保してください!

Sign up for the latest updates
~$4.72M Lost: TAC, Transit Finance & More | BlockSec Weekly
Security Insights

~$4.72M Lost: TAC, Transit Finance & More | BlockSec Weekly

This BlockSec weekly security report covers 3 notable attack incidents identified between May 11 and May 17, 2026, across TRON, TON, and Ethereum, with total estimated losses of approximately $4.72M. Three incidents are analyzed in detail: the highlighted $1.88M Transit Finance exploit on TRON, where a deprecated swap bridge contract with lingering token approvals was exploited through arbitrary calldata forwarding; the $2.8M TAC TON-to-EVM bridge exploit caused by missing canonical wallet verification in the jetton deposit flow; and the $46.75K Boost Hook exploit on Ethereum, where spot price manipulation on a Uniswap V4 hook-based perpetual protocol forced the protocol to buy tokens at inflated prices using its own reserves.

~$15.9M Lost: Trusted Volumes, Wasabi & More | BlockSec Weekly
Security Insights

~$15.9M Lost: Trusted Volumes, Wasabi & More | BlockSec Weekly

This BlockSec bi-weekly security report covers 11 notable attack incidents identified between April 27 and May 10, 2026, across Sui, Ethereum, BNB Chain, Base, Blast, and Berachain, with total estimated losses of approximately $15.9M. Three incidents are analyzed in detail: the highlighted $1.14M Aftermath Finance exploit on Sui, where a signed/unsigned semantic mismatch in the builder-fee validation allowed an attacker to inject a negative fee that was converted into positive collateral during settlement; the $5.87M Trusted Volumes RFQ authorization mismatch on Ethereum; and the $5.7M Wasabi Protocol infrastructure-to-contract-control compromise across multiple EVM chains.

Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit