Back to Blog

ニュースレター - 2026年3月

April 1, 2026
3 min read
Key Insights

3月のDeFiインシデントトップ3

Resolv Protocol: 約8,000万ドル

2026年3月22日、Resolvはセキュリティ侵害を受け、8,000万ドル*の損失を被りました。

根本原因は特権インフラキーの侵害でした。盗まれたキーを使用して、攻撃者は特権的なスワップ最終化フローを悪用し、3つのエクスプロイトトランザクションで同等の担保なしに8,000万以上のUSRをミントしました。根本原因は単純でしたが、このインシデントは、オンチェーンおよびオフチェーンの両方で、セキュリティ管理の広範な欠如を浮き彫りにしました。プロジェクトは、ミント承認中に厳密な検証を強制せず、侵害を検出して迅速に対応するための監視戦略も導入していませんでした。

注目すべきは、影響が不正なUSRミントによる8,000万ドルをはるかに超えたことです。Resolvの資産は複数のレンディングプロトコルで担保として広く使用されていたため、デペッグはより広範な伝染を引き起こしました。Chaos Labsによると、自動利回り追求型配分を使用するオンチェーンキュレーターは、リアルタイムのリスク管理を欠いており、すでに悪化した市場に新鮮な資本を継続的に投入していました。局所的なエクスプロイトとして始まったものは、すぐにクロスプロトコル伝染イベントにエスカレートし、レンディングプロトコルに数百万ドルの不良債権を残しました。

*損失は、USRのペッグされた価値を1ドルとして推定したものです。

BitcoinReserveOffering: 約270万ドル

2026年3月5日、Ethereum上のBitcoinReserveOfferingコントラクトが約270万ドルでエクスプロイトされました。

根本原因は、mint()関数における欠陥のあるビジネスロジックであり、ERC-3525 SFTの全預金処理時にミントロジックを2回実行しました。ERC-3525ERC-721を継承しているため、安全な転送はonERC721Received()コールバックをトリガーします。コールバック内で、BROトークン額が計算され、呼び出し元にミントされました。しかし、コールバックが返された後、外部のmint()が再開され、2回目のミント操作を実行し、預金ごとのBRO発行量を倍増させました。これにより、攻撃者は攻撃トランザクションを通じて、繰り返しバーンとミントを繰り返すことでBRO残高を膨張させることができました。

同様の問題を防ぐため、プロトコルは、コールバックをトリガーする可能性のある外部呼び出しの前に状態更新をコミットし、預金操作ごとに資産会計が正確に1回実行されるようにする必要があります。さらに、ミントされた金額が基盤となる預金価値を超えることがないことを保証するために、不変性チェックを追加する必要があります。

Venus Protocol: 約215万ドル

2026年3月15日、BNB Chain上のVenusのTHE(Thena)市場は、ドネーション攻撃市場操作を組み合わせて悪用されました。このインシデントにより、プロトコルの不良債権は約215万ドルとなりましたが、エクスプロイターはオンチェーンで約470万ドルの純損失を被りました。

VenusはCompound V2フォークのレンディングプロトコルです。影響を受けた市場は、オンチェーン流動性が浅いTHEを基盤資産として使用しています。ドネーション攻撃は、市場コントラクトがコントラクトの生残高からtotalCashを導出することによって可能になりました。これにより、攻撃者はTHEを直接市場に寄付することができ、totalCashが増加し、exchangeRateがインフレしました。このインフレした担保で、攻撃者は流動性資産を借り入れ、それをより多くのTHEと交換し、THEの市場価格を上昇させました。入手したTHEトークンはさらに市場に寄付され、攻撃の影響は継続的にエスカレートしました。

このインシデントは、会計ロジックとリスク設定の2つの点でレンディングプロトコルに警告を発するものです。プロトコルは、資産価値を正確に反映し、ドネーション攻撃によって偏向されない、操作耐性のある会計メカニズムを実装する必要があります。さらに、供給キャップ、借入キャップ、LTV(Loan-to-Value)比率などの重要なリスクパラメータは、プロトコルのエクスポージャーを制限するために慎重に構成する必要があります。

詳細な分析については、当社のディープダイブ投稿をお読みください。

https://blocksec.com/blog/venus-thena-donation-attack

上記の情報は、2026年3月31日午前0時(UTC)時点のデータに基づいています。

これで1月のセキュリティインシデント概要は終了です。ブロックチェーンセキュリティインシデントおよびWeb3セキュリティトレンドに関するより詳細な分析については、リソースをご覧ください。

セキュリティインシデントライブラリでさらに学習できます。

情報を入手し、安全を確保してください!

Sign up for the latest updates
〜598万ドルの損失:Aztec、Raydiumなど|BlockSec週次レポート
Security Insights

〜598万ドルの損失:Aztec、Raydiumなど|BlockSec週次レポート

週次ブロックチェーンセキュリティレポート(2026年6月8日〜15日)では、EthereumとSolanaで4件の重大インシデントを分析し、総損失は約598万ドル。Aztec Connectでは入力検証の欠如によりロールアップの証明経路とL1決済が不整合に。RaydiumではレガシーAMM v3の検証不備でLPトークン償還計算が操作され4プールが流出。両脆弱性は悪用前から数年間存在。入力検証不備、整数オーバーフロー、ガバナンス乗っ取りも検証。

OFACシナロア・カルテル制裁:オンチェーン資金追跡

OFACシナロア・カルテル制裁:オンチェーン資金追跡

OFACはフェンタニルの収益洗浄でシナロア・カルテルのネットワークを制裁した。MetaSleuthで制裁対象の6つのアドレスをオンチェーン追跡したところ、資金はほぼ全て中央集権型取引所のデポジットアドレスを経由していた。

Zcash Orchardの健全性バグ分析 | BlockSec週刊
Security Insights

Zcash Orchardの健全性バグ分析 | BlockSec週刊

2026年6月1日の週、Zcashのオーキャードシールドプールに重大な健全性脆弱性が公表された。halo2 ECCスカラー乗算ガジェットの等式制約の欠落により、二重支払いを通じたZECの検出不能な偽造が可能だった。2022年5月のオーキャード有効化から4年以上存在したこの脆弱性はAI支援監査で発見され、緊急ネットワークアップグレード(NU6.2)で修正された。