3月のDeFiインシデントトップ3
Resolv Protocol: 約8,000万ドル
2026年3月22日、Resolvはセキュリティ侵害を受け、8,000万ドル*の損失を被りました。
根本原因は特権インフラキーの侵害でした。盗まれたキーを使用し、攻撃者は特権的なスワップ最終化フローを悪用し、3つのエクスプロイトトランザクションで同等の担保なしに8,000万以上のUSRをミントしました。根本原因は単純でしたが、このインシデントは、オンチェーンおよびオフチェーンの両方で、セキュリティ管理の広範な欠如を露呈しました。プロジェクトは、ミント承認中に厳格な検証を実施せず、侵害をタイムリーに検出および対応するための監視戦略も配置していませんでした。
特筆すべきは、影響が不正なUSRミントの8,000万ドルをはるかに超えたことです。Resolvの資産は複数のレンディングプロトコルで担保として広く利用されていたため、デペッグは広範な連鎖反応を引き起こしました。Chaos Labs (https://x.com/chaoslabs/status/2036145976952365218)が報告したように、自動利回り追求型配分を使用していたオンチェーンキュレーターは、リアルタイムのリスク管理を欠き、すでに損なわれた市場に新鮮な資本を誘導し続けました。局所的なエクスプロイトとして始まったものは、すぐにクロスプロトコル連鎖反応イベントにエスカレートし、レンディングプロトコルに数百万ドルの不良債権を残しました。
*損失額は、USRのペッグ価値を1ドルとして推定しています。
BitcoinReserveOffering: 約270万ドル
2026年3月5日、Ethereum上のBitcoinReserveOfferingコントラクトが約270万ドルでエクスプロイトされました。
根本原因は、mint()関数の欠陥のあるビジネスロジックであり、完全なERC-3525 SFTデポジットを処理する際にミントロジックを2回実行しました。ERC-3525はERC-721を継承しているため、安全な転送はonERC721Received()コールバックをトリガーします。コールバック内では、BROトークン量が計算され、呼び出し元にミントされました。しかし、コールバックが戻った後、外側のmint()が再開され、2回目のミント操作を実行し、デポジットあたりに発行されたBROを倍増させました。これにより、攻撃者は攻撃トランザクションを通じて、繰り返しバーン&ミントサイクルを実行してBRO残高をインフレさせることができました。
同様の問題を防ぐため、プロトコルは、コールバックをトリガーする可能性のある外部呼び出しの前に状態更新をコミットし、各デポジット操作ごとに資産会計が正確に1回実行されることを保証する必要があります。さらに、ミントされた金額が、基盤となるデポジット価値を超えることがないように、不変条件チェックを追加する必要があります。
Venus Protocol: 約215万ドル
2026年3月15日、BNB Chain上のVenusのTHE (Thena)市場は、ドネーション攻撃と市場操作の組み合わせにより被害を受けました。このインシデントにより、プロトコルは約215万ドルの不良債権を抱え、エクスプロイターはオンチェーンで約470万ドルの純損失を被りました。
Venusは、Compound V2フォークのレンディングプロトコルです。影響を受けた市場はTHEを基盤資産として使用しており、オンチェーンの流動性は浅いです。ドネーション攻撃は、市場コントラクトがコントラクトの生残高からtotalCashを導出することによって可能になりました。これにより、攻撃者はTHEを市場に直接寄付でき、totalCashが増加し、exchangeRateがインフレしました。このインフレした担保で、攻撃者は流動性のある資産を借り入れ、それをより多くのTHEと交換してTHEの市場価格を吊り上げました。入手したこれらのTHEトークンはさらに市場に寄付され、攻撃の影響は継続的にエスカレートしました。
このインシデントは、会計ロジックとリスク設定という2つの側面からレンディングプロトコルへの警告として機能します。プロトコルは、資産価値を正確に反映し、ドネーション攻撃によって歪められることのない、操作耐性のある会計メカニズムを実装する必要があります。さらに、供給キャップ、借入キャップ、LTV(Loan-to-Value)比率などの重要なリスクパラメータは、プロトコルのエクスポージャーを制限するために慎重に設定する必要があります。
詳細な分析については、当社の詳細な投稿をお読みください: https://blocksec.com/blog/venus-thena-donation-attack
上記の情報は、2026年3月31日00:00 UTC時点のデータに基づいています。
これで1月のセキュリティインシデント概要は終了です。ブロックチェーンセキュリティインシデントおよびWeb3セキュリティトレンドに関するより詳細な分析については、当社のリソースをご参照ください。
当社のセキュリティインシデントライブラリでさらに詳しく学ぶことができます。
最新情報を把握し、安全を確保してください!
