Back to Blog

ニュースレター - 2026年1月

Code AuditingPhalcon Security
February 1, 2026
4 min read
Key Insights

1月のDeFiインシデントトップ3

Truebit Protocol:約2600万ドル

2026年1月8日、イーサリアム上のTruebit Protocolがエクスプロイトされ、約2600万ドルの損失が発生しました。このインシデントは、堅牢なスマートコントラクトセキュリティの極めて重要な重要性を浮き彫りにしています。

根本原因は、TRUトークン購入価格設定機能における整数オーバーフローの脆弱性でした。コントラクトはSolidity v0.6.10でコンパイルされており、デフォルトではオーバーフローチェックが強制されません。攻撃者は、購入コスト計算における大きな中間値がオーバーフローしてはるかに小さい数値にラップアラウンドするような入力パラメータを作成しました。これにより、攻撃者は最小限またはゼロETHコストで大量のTRUトークンを購入することができました。

攻撃者は、単一の攻撃トランザクション内で複数のアービトラージラウンドを実行し、TRUトークンの売買操作を繰り返し実行しました。特に、プロトコルは即時の売買アービトラージを防ぐために、意図的に売買間の価格設定の非対称性を設計していました。しかし、脆弱なコントラクトは、オーバーフロー保護のない古いSolidityバージョンを使用してデプロイされており、攻撃対象領域が露呈し、最終的にプロトコル準備金から8,535 ETHが枯渇しました。

詳細な攻撃分析を読む

BlockSecのスマートコントラクト監査でdAppを保護しましょう

整数オーバーフローのような脆弱性がプロトコルを脅かすことを許さないでください。当社の専門チームは、コストのかかるエクスプロイトになる前にリスクを特定し軽減するために、徹底的なスマートコントラクト監査を実施します。

Web3における最高のセキュリティ監査人

ローンチ前に設計、コード、ビジネスロジックを検証

監査レポートを読む監査をリクエストする

SwapNet & Aperture:約1700万ドル

2026年1月25日、SwapNetとAperture Financeは、共通の脆弱性に起因する攻撃を受け、合計約1700万ドルの損失が発生しました。この攻撃は、Matcha Metaユーザーに大きな影響を与え、影響を受けた資金は1300万ドルを超えました。

影響を受けた両方のコントラクトはクローズドソースでしたが、逆コンパイルされたバイトコードとオンチェーントランザクショントレースを分析することで、攻撃パスを再構築することができました。根本原因は、脆弱な関数内の重要なユーザー入力に対する検証が不十分であり、攻撃者が悪意のあるパラメータで任意の呼び出しを実行できることでした。一連の攻撃トランザクションで、攻撃者は脆弱なコントラクトにトークン承認を付与したことのあるユーザーからトークンをドレインするために、ERC20 transferFrom()の呼び出しを構築しました。これは、一般的なDeFiセキュリティリスクを浮き彫りにしています。

この攻撃に関与した両方のプロトコルはコードをオープンソース化していなかったため、コミュニティが公開レビューを通じてセキュリティ脆弱性を特定することを困難にしていました。一方、承認ベースの攻撃アプローチは、業界への警鐘として役立ちます。ユーザーはトークン承認を注意深く管理する必要があり、プロトコルは時間ロックまたはキャップ付き承認などの保護メカニズムを実装して、そのような攻撃のリスクを根本的に軽減する必要があります。

Phalcon Security:リアルタイム脅威監視と攻撃防止

SwapNetやApertureのような高度な攻撃を先取りしましょう。Phalcon Securityは、疑わしいオンチェーンアクティビティのリアルタイム監視とアラートを提供し、エクスプロイトの検出と防止を支援します。

Phalcon Securityで始めましょう

あらゆる脅威を検出し、重要なものをアラートし、攻撃をブロックします。

今すぐ無料で試す

Saga:約700万ドル

2026年1月21日、SagaエコシステムのSagaEVMがエクスプロイトされ、不正なトークンミントと約700万ドルの損失が発生しました。このインシデントは、あらゆるレイヤーにおける堅牢なブロックチェーンセキュリティの重要性を強調しています。

根本原因はまだ完全に開示されていませんが、公式情報筋は、SagaEVMが継承したEthermintとCosmosEVMコードの共通の脆弱性が攻撃につながったことを確認しています。攻撃者は悪意のあるスマートコントラクトをデプロイしてエクスプロイトを実行し、大量のSagaドルをミントしました。攻撃の成功後、盗まれた資金のほぼすべてがクロスチェーンブリッジを介してイーサリアムネットワークに迅速に転送されました。

このインシデントは、ブロックチェーンエコシステムにおけるコード継承のリスクを浮き彫りにしています。基盤となるコードベースに脆弱性が存在する場合、そのコードを継承するすべてのプロジェクトが同じ脅威に直面する可能性があり、連鎖的なセキュリティ脆弱性を生み出します。このようなエコシステムには、包括的なインフラストラクチャ監査が不可欠です。

上記の情報は、2026年1月31日午前0時(UTC)時点のデータに基づいています。

これで1月のセキュリティインシデント概要は終了です。ブロックチェーンセキュリティインシデントとWeb3セキュリティトレンドの詳細な分析については、リソースをご覧ください。

セキュリティインシデントライブラリで詳細を確認できます。

情報を入手し、安全を確保しましょう!

Sign up for the latest updates
~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly
Security Insights

~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly

This BlockSec bi-weekly security report covers 11 notable attack incidents identified between April 27 and May 10, 2026, across Sui, Ethereum, BNB Chain, Base, Blast, and Berachain, with total estimated losses of approximately $15.9M. Three incidents are analyzed in detail: the highlighted $1.14M Aftermath Finance exploit on Sui, where a signed/unsigned semantic mismatch in the builder-fee validation allowed an attacker to inject a negative fee that was converted into positive collateral during settlement; the $5.87M Trusted Volumes RFQ authorization mismatch on Ethereum; and the $5.7M Wasabi Protocol infrastructure-to-contract-control compromise across multiple EVM chains.

Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security