1月におけるDeFiインシデントトップ3
Truebit Protocol: 約2600万ドル
2026年1月8日、イーサリアム上のTruebit Protocolが不正利用され、約2600万ドルの損失が発生しました。
根本原因は、TRUトークン購入価格設定機能における整数オーバーフローの脆弱性でした。コントラクトはSolidity v0.6.10でコンパイルされており、デフォルトではオーバーフローチェックが強制されません。攻撃者は、購入コスト計算における大きな中間値がオーバーフローしてより小さな数値にラップアラウンドするような入力パラメータを作成しました。これにより、攻撃者は最小限またはゼロETHコストで大量のTRUトークンを購入できるようになりました。
攻撃者は、単一の攻撃トランザクション内で複数のアービトラージラウンドを実行し、TRUトークンの売買操作を繰り返し実行しました。特に、プロトコルは即時の売買アービトラージを防ぐために、意図的に売買間の価格設定に非対称性を持たせていました。しかし、脆弱なコントラクトは、オーバーフロー保護のない古いSolidityバージョンを使用してデプロイされており、攻撃対象領域が露呈し、最終的にプロトコルリザーブから8,535 ETHが流出しました。
SwapNet & Aperture: 約1700万ドル
2026年1月25日、SwapNetとAperture Financeが攻撃を受け、共有された脆弱性に起因する合計約1700万ドルの損失が発生しました。この攻撃はMatcha Metaユーザーに大きな影響を与え、影響を受けた資金は1300万ドルを超えました。
影響を受けた両方のコントラクトはクローズドソースでしたが、逆コンパイルされたバイトコードとオンチェーントランザクショントレースを分析することで、攻撃経路を再構築することができました。根本原因は、脆弱な関数内の重要なユーザー入力に対する検証が不十分であったことで、攻撃者が悪意のあるパラメータで任意の呼び出しを実行できるようになりました。一連の攻撃トランザクションにおいて、攻撃者はERC20 transferFrom()呼び出しを構築し、脆弱なコントラクトにトークン許可を付与していたユーザーからトークンを流出させました。
この攻撃に関与した両方のプロトコルは、コードをオープンソース化していなかったため、コミュニティが公開レビューを通じてセキュリティ脆弱性を特定することが困難でした。一方、許可ベースの攻撃アプローチは、業界にとって警鐘となります。ユーザーはトークン許可を慎重に管理する必要があり、プロトコルは時間ロックまたはキャップ付き承認などの保護メカニズムを実装して、このような攻撃のリスクを根本的に軽減する必要があります。
Saga: 約700万ドル
2026年1月21日、SagaエコシステムのSagaEVMが不正利用され、不正なトークン発行と約700万ドルの損失が発生しました。
根本原因はまだ完全に開示されていませんが、公式情報源によると、SagaEVMが継承したEthermintとCosmosEVMコードの共有脆弱性が攻撃につながったことが確認されています。攻撃者は悪意のあるスマートコントラクトをデプロイして攻撃を実行し、大量のSaga Dollarsを発行しました。攻撃成功後、盗まれた資金のほぼすべてがクロスチェーンブリッジを介してイーサリアムネットワークに迅速に転送されました。
このインシデントは、ブロックチェーンエコシステムにおけるコード継承のリスクを浮き彫りにしています。基盤となるコードベースに脆弱性が存在する場合、そのコードを継承するすべてのプロジェクトが同じ脅威に直面する可能性があり、連鎖的なセキュリティ脆弱性が生じます。
上記の情報は、2026年1月31日午前0時(UTC)時点のデータに基づいています。
これで1月のセキュリティインシデント概要は終了です。
セキュリティインシデントライブラリでさらに詳しい情報を確認できます。
情報収集を続け、安全を確保してください!
