3月のDeFiインシデントトップ3
Resolv Protocol: 約8,000万ドル
2026年3月22日、Resolvはセキュリティ侵害を受け、8,000万ドル*の損失を被りました。
根本原因は特権インフラキーの侵害でした。盗まれたキーを使用して、攻撃者は特権的なスワップ最終化フローを悪用し、3つのエクスプロイトトランザクションで同等の担保なしに8,000万以上のUSRをミントしました。根本原因は単純でしたが、このインシデントは、オンチェーンおよびオフチェーンの両方で、セキュリティ管理の広範な欠如を浮き彫りにしました。プロジェクトは、ミント承認中に厳密な検証を強制せず、侵害を検出して迅速に対応するための監視戦略も導入していませんでした。
注目すべきは、影響が不正なUSRミントによる8,000万ドルをはるかに超えたことです。Resolvの資産は複数のレンディングプロトコルで担保として広く使用されていたため、デペッグはより広範な伝染を引き起こしました。Chaos Labsによると、自動利回り追求型配分を使用するオンチェーンキュレーターは、リアルタイムのリスク管理を欠いており、すでに悪化した市場に新鮮な資本を継続的に投入していました。局所的なエクスプロイトとして始まったものは、すぐにクロスプロトコル伝染イベントにエスカレートし、レンディングプロトコルに数百万ドルの不良債権を残しました。
*損失は、USRのペッグされた価値を1ドルとして推定したものです。
BitcoinReserveOffering: 約270万ドル
2026年3月5日、Ethereum上のBitcoinReserveOfferingコントラクトが約270万ドルでエクスプロイトされました。
根本原因は、mint()関数における欠陥のあるビジネスロジックであり、ERC-3525 SFTの全預金処理時にミントロジックを2回実行しました。ERC-3525はERC-721を継承しているため、安全な転送はonERC721Received()コールバックをトリガーします。コールバック内で、BROトークン額が計算され、呼び出し元にミントされました。しかし、コールバックが返された後、外部のmint()が再開され、2回目のミント操作を実行し、預金ごとのBRO発行量を倍増させました。これにより、攻撃者は攻撃トランザクションを通じて、繰り返しバーンとミントを繰り返すことでBRO残高を膨張させることができました。
同様の問題を防ぐため、プロトコルは、コールバックをトリガーする可能性のある外部呼び出しの前に状態更新をコミットし、預金操作ごとに資産会計が正確に1回実行されるようにする必要があります。さらに、ミントされた金額が基盤となる預金価値を超えることがないことを保証するために、不変性チェックを追加する必要があります。
Venus Protocol: 約215万ドル
2026年3月15日、BNB Chain上のVenusのTHE(Thena)市場は、ドネーション攻撃と市場操作を組み合わせて悪用されました。このインシデントにより、プロトコルの不良債権は約215万ドルとなりましたが、エクスプロイターはオンチェーンで約470万ドルの純損失を被りました。
VenusはCompound V2フォークのレンディングプロトコルです。影響を受けた市場は、オンチェーン流動性が浅いTHEを基盤資産として使用しています。ドネーション攻撃は、市場コントラクトがコントラクトの生残高からtotalCashを導出することによって可能になりました。これにより、攻撃者はTHEを直接市場に寄付することができ、totalCashが増加し、exchangeRateがインフレしました。このインフレした担保で、攻撃者は流動性資産を借り入れ、それをより多くのTHEと交換し、THEの市場価格を上昇させました。入手したTHEトークンはさらに市場に寄付され、攻撃の影響は継続的にエスカレートしました。
このインシデントは、会計ロジックとリスク設定の2つの点でレンディングプロトコルに警告を発するものです。プロトコルは、資産価値を正確に反映し、ドネーション攻撃によって偏向されない、操作耐性のある会計メカニズムを実装する必要があります。さらに、供給キャップ、借入キャップ、LTV(Loan-to-Value)比率などの重要なリスクパラメータは、プロトコルのエクスポージャーを制限するために慎重に構成する必要があります。
詳細な分析については、当社のディープダイブ投稿をお読みください。
https://blocksec.com/blog/venus-thena-donation-attack
上記の情報は、2026年3月31日午前0時(UTC)時点のデータに基づいています。
これで1月のセキュリティインシデント概要は終了です。ブロックチェーンセキュリティインシデントおよびWeb3セキュリティトレンドに関するより詳細な分析については、リソースをご覧ください。
セキュリティインシデントライブラリでさらに学習できます。
情報を入手し、安全を確保してください!
