1月におけるDeFiインシデントトップ3
Truebit Protocol: 約2600万ドル
2026年1月8日、イーサリアム上のTruebit Protocolがエクスプロイトされ、約2600万ドルの損失が発生しました。このインシデントは、堅牢なスマートコントラクトセキュリティの極めて重要な重要性を浮き彫りにしています。
根本原因は、TRUトークン購入価格設定機能における整数オーバーフローの脆弱性でした。コントラクトはSolidity v0.6.10でコンパイルされており、デフォルトではオーバーフローチェックが強制されません。攻撃者は、購入コスト計算における大きな中間値がオーバーフローしてはるかに小さい数値にラップアラウンドするように、入力パラメータを細工しました。これにより、攻撃者は最小限またはゼロに近いETHコストで大量のTRUトークンを購入することができました。
攻撃者は、単一の攻撃トランザクション内で複数のアービトラージラウンドを実行し、TRUトークンの売買操作を繰り返し実行しました。特に、プロトコルは、即時の売買アービトラージを防ぐために、意図的に購入と売却の価格設定に非対称性を持たせていました。しかし、脆弱なコントラクトは、オーバーフロー保護のない古いSolidityバージョンを使用してデプロイされたため、攻撃対象領域が露呈し、最終的にプロトコルリザーブから8,535 ETHが流出する結果となりました。
BlockSecのスマートコントラクト監査でdAppを保護する
整数オーバーフローのような脆弱性がプロトコルを脅かすのを許さないでください。当社の専門チームは、コストのかかるエクスプロイトになる前にリスクを特定および軽減するために、徹底的なスマートコントラクト監査を実施します。
Web3の最高のセキュリティ監査人
ローンチ前に設計、コード、ビジネスロジックを検証する
SwapNet & Aperture: 約1700万ドル
2026年1月25日、SwapNetとAperture Financeは、共有された脆弱性に起因する攻撃を受け、合計約1700万ドルの損失が発生しました。この攻撃はMatcha Metaユーザーに大きな影響を与え、影響を受けた資金は1300万ドルを超えました。
影響を受けた両方のコントラクトはクローズドソースでしたが、逆コンパイルされたバイトコードとオンチェーントランザクショントレースを分析することで、攻撃経路を再構築することができました。根本原因は、脆弱な関数の重要なユーザー入力に対する検証が不十分であり、攻撃者が悪意のあるパラメータで任意のコールを実行できることでした。一連の攻撃トランザクションで、攻撃者はERC20 transferFrom()呼び出しを構築し、以前に脆弱なコントラクトにトークン承認を付与していたユーザーからトークンをドレインしました。これは一般的なDeFiセキュリティリスクを浮き彫りにしています。
この攻撃に関与した両方のプロトコルは、コードをオープンソース化していなかったため、コミュニティが公開レビューを通じてセキュリティ上の脆弱性を特定することが困難でした。一方、承認ベースの攻撃アプローチは、業界にとって目覚ましいものとなっています。ユーザーはトークン承認を慎重に管理する必要があり、プロトコルは時間ロックまたはキャップ付き承認などの保護メカニズムを実装して、そのような攻撃のリスクを根本的に軽減する必要があります。
Phalcon Security: リアルタイム脅威監視と攻撃防止
SwapNetやApertureのような洗練された攻撃に先んじましょう。Phalcon Securityは、疑わしいオンチェーンアクティビティのリアルタイム監視とアラートを提供し、エクスプロイトの検出と防止を支援します。
Saga: 約700万ドル
2026年1月21日、Sagaエコシステム内のSagaEVMがエクスプロイトされ、不正なトークンミントと約700万ドルの損失が発生しました。このインシデントは、すべてのレイヤーにおける堅牢なブロックチェーンセキュリティの重要性を浮き彫りにしています。
根本原因はまだ完全に開示されていませんが、公式情報筋は、SagaEVMが継承したEthermintとCosmosEVMコードにおける共通の脆弱性が攻撃につながったことを確認しています。攻撃者は悪意のあるスマートコントラクトをデプロイしてエクスプロイトを実行し、大量のSaga Dollarsをミントしました。攻撃成功後、盗まれた資金のほぼすべてがクロスチェーンブリッジを介してイーサリアムネットワークに迅速に転送されました。
このインシデントは、ブロックチェーンエコシステムにおけるコード継承のリスクを浮き彫りにしています。基盤となるコードベースに脆弱性が存在する場合、そのコードを継承するすべてのプロジェクトが同じ脅威に直面する可能性があり、連鎖的なセキュリティ脆弱性が生じます。このようなエコシステムには、包括的なインフラストラクチャ監査が不可欠です。
上記の情報は、2026年1月31日午前0時(UTC)時点のデータに基づいています。
これで1月のセキュリティインシデント概要は終了です。ブロックチェーンセキュリティインシデントとWeb3セキュリティトレンドの詳細な分析については、弊社のリソースをご覧ください。
弊社のセキュリティインシデントライブラリで詳細を確認できます。
情報収集を怠らず、安全を確保しましょう!
