イーサリアム流動性プロバイダーTrustedVolumesがハッキング被害

流動性プロバイダーのTrustedVolumesは、木曜日にハッカーによって約590万ドルの資金を失った。この攻撃者は、プラットフォームが使用しているカスタム取引システムの脆弱性を悪用し、ETH、WBTC、USDT、USDCステーブルコインを含む資金を引き出すことに成功した。

何が起こったのか

ブロックチェーンセキュリティ企業のBlockaidによると、盗まれた資金には1,291 WETH、約16.9 WBTC、約206,000 USDT、そして127万USDC未満が含まれていた。この攻撃は、TrustedVolumesのカスタムオーダー決済システムにおける設計上の欠陥を悪用することで成功した。このシステムは「リクエスト・フォー・クオート（RFQ）プロキシ」として知られている。

GoPlus Securityは、攻撃者が「registerAllowedOrderSigner()」という公開されている関数を使用して、自身を認可された「オーダーサイナー」として登録したことを示す内訳を公開した。この関数は、誰でも自分のアドレスを取引の有効なサイナーとして指定できるようにするものであり、通常はそれほど危険ではないが、決済機能には別の問題があった。それは、認証を1つのアドレスに対して確認しながら、実際には別のアドレスから資金を引き出していたというものである。

セキュリティ研究者のDefi Nerdが公開した技術報告によると、攻撃者はその隙間を利用して、TrustedVolumesのリゾルバコントラクトに対して4回の資金引き出しトランザクションを実行した。このリゾルバは、以前にプロキシにトークンを移動する許可を与えていた。彼らによれば、毎回プロキシはリゾルバから資産を引き出し、単一の生のUSDCユニットだけを返送した。その後、攻撃者は盗まれたWETHをETHに戻し、すべてを自分のウォレットに転送した。

TrustedVolumesの確認と対応

TrustedVolumesはこの攻撃を確認し、盗まれた資金を保持する3つのウォレットアドレスを公開し、ハッカーに「バグバウンティと相互に受け入れ可能な解決策」について連絡するよう求めた。

1inchとの関係

TrustedVolumesは1inchで流動性プロバイダーおよびマーケットメイカーとして機能しているため、一部の初期報道ではこの事件を1inchのハッキングと位置付けていた。しかし、それは正確ではなく、1inchとBlockaidは、プロトコル自体は侵害されておらず、1inch上のユーザー資金には影響がなかったことを明確にする声明を出した。

TrustedVolumesは、1inchに限定されず、複数のプラットフォームで独立して運営されている。この攻撃は、異なるプロジェクトから6億5000万ドル以上の暗号資産が盗まれた壊滅的な4月の後に発生したため、DeFiエコシステムにとって特に困難な時期に起こった。KelpDAOとDrift Protocolが最も影響を受け、それぞれ2億9200万ドルと2億8520万ドルが奪われた。

したがって、590万ドルの今回のハッキングは規模としては小さい。しかし、ヘルパーコントラクトを展開し、セルフサービスのサイナー登録を悪用し、単一のトランザクションでメーカー/資金源の不一致を利用するという技術的な洗練度は、単なるバグや設定ミスとは異なるカテゴリに位置付けられる。

まとめ

TrustedVolumesは、ハッキングで590万ドルを失ったことが明らかになりました。攻撃者がシステムの脆弱性を悪用し、ETHやステーブルコインを含む資金を引き出しました。セキュリティの甘さがDeFiエコシステムの信頼を揺るがす結果となり、より強固なセキュリティ対策が必須です。こうしたリスクがある中で、個々の投資家は自らの資産を守ることが重要です。特にビットコインのような堅牢な通貨に注目すべきと考えます。

Source: CryptoPotato

GFAの仮想通貨アドバイスを受け取る方法

GFA Web3.0 Hubでは、メディアアドバイザー木田による仮想通貨業界の最新情報や、GFA公式トレーダーによるチャート分析など、トレード初心者でも理解しやすい内容を配信しています！

さらに、GFAヘビーユーザーによるディスカッションも活発に行われており、SNSでは得られないリアルな情報もキャッチすることができます。

「IRに記載されていた○○って何だろう？」「にゃんまるコインの最新動向を知りたい」「ミームコイントレードで失敗したくない」方は、この機会にご参加ください！