攻撃事件

アメリカのマンハッタン連邦裁判所の裁判官マーガレット・ガーネットは、AaveがrsETH攻撃事件後の資産回復計画を進めることを承認し、以前にArbitrumで凍結されていた約7100万ドルのETHをAaveが管理するウォレットに移転することを許可しました。裁判所の文書によると、この決定は以前のArbitrum DAOに対する差止命令を修正し、コミュニティがオンチェーンガバナンス投票を通じてETHの移転を完了できるようにし、投票および移転の実行に関与する者の法的責任を免除しました。この事件は4月に発生したrsETH攻撃事件に起因しており、関連する攻撃は広く北朝鮮に関連するラザルスグループに起因するとされています。以前、北朝鮮のテロリズムの被害者家族を代表する弁護士は、関連資産の凍結を主張し、約8.77億ドルの未払い判決の賠償範囲に含めることを試みました。Arbitrumコミュニティは、Snapshotでの温度チェック投票で凍結されたETHをAave回復計画に返還することを高票で支持しましたが、実際の移転は正式なオンチェーンガバナンスの承認が必要です。報道によれば、この案件はアメリカの関連原告が北朝鮮に関連する暗号資産を追求する行動の一部でもあります。Arbitrumの他に、原告は以前にプライバシー協定のRailgun DAOを訴え、Digital Currency Group（DCG）を被告の一つとして挙げ、関連するガバナンスおよび経済活動に関与したと主張しています。

Mantle トークン保有者は MIP-34 提案を通じて、Aave DAO に最大 3 万 ETH（約 6800 万ドル）の信用枠を提供することを承認しました。この措置は、4 月の rsETH 攻撃事件によって Aave V3 に生じた潜在的な不良債権問題を解決するためのものです。この事件による不良債権は、1.237 億ドルから 2.301 億ドルの間と推定されています。この提案は、7 日間の Snapshot 投票で承認され、Mantle 財団が Aave DAO と協議し、最終的な貸付契約を実行することを許可しました。この信用枠の最終的な実施は、Aave がその回復計画を実施し、具体的な条件を確定することを前提としています。Galaxy Research の報告によれば、rsETH 攻撃事件は Aave の WETH 市場を持続的な緊張状態に陥れ、資金利用率は一時 12.7 日間 99% 以上を維持していました。5 月 8 日現在、Aave イーサリアム V3 の WETH 市場利用率は約 91.6% に回復し、市場の圧力は緩和されています。

Mantleトークン保有者は、MIP-34提案を通じて、Aave DAOに最高3万ETH（約6800万ドル）の信用枠を提供することを承認しました。この措置は、4月のrsETH攻撃事件によって引き起こされたAave V3の潜在的な不良債権問題を解決するためのものであり、この事件による不良債権は1.237億ドルから2.301億ドルの間と推定されています。この提案は、7日間のSnapshot投票で承認され、Mantle財団がAave DAOと協議し、最終的な貸付契約を実行することを権限付与しました。この信用枠の最終的な実施は、Aaveがその回復計画を実施し、具体的な条件を確定することを前提としています。Galaxy Researchの報告によれば、rsETH攻撃事件はAaveのWETH市場を持続的な緊張状態に陥れ、資金利用率は一時99%以上を12.7日間維持していました。今日現在、AaveイーサリアムV3のWETH市場の利用率は約91.6%に低下し、市場の圧力は緩和されています。

Kelp DAOは、その再質押トークンrsETHをChainlink CCIPに移行することを発表し、この措置は安全性を高めるためであると述べました。以前、Kelp DAOがLayerZeroに基づいて構築したクロスチェーンブリッジは4月18日に攻撃を受け、ハッカーは約116,500枚のrsETHを盗み、金額は約2.92億ドルに達し、関連資産を担保としてAave v3でWETHを借り入れました。脆弱性の原因について、LayerZeroは以前、問題はKelp DAOが単一のDVN検証パス設定を採用していたことに起因すると述べましたが、複数の独立した検証を行っていなかったとしています。Kelp DAOは、この設定がデフォルト設定であり、LayerZeroがその安全性を確認し、関連するリスクを警告していなかったと反論しました。その後、LayerZeroのCEOブライアン・ペレグリーノは関連する主張を否定し、Kelp DAOがデフォルトの複数DVN設定を積極的に変更したと述べました。双方は現在も責任の所在についての議論を続けています。

The Blockの報道によると、先月約2.92億ドルのブリッジ攻撃を受けた後、Kelp DAOはLayerZeroを放棄し、Chainlinkのクロスチェーンインフラストラクチャを採用することを決定しました。Kelp DAOはChainlinkのクロスチェーン相互運用プロトコルを使用し、このプロトコルは16の独立したノードオペレーターがクロスチェーン取引を検証することを要求します。これは攻撃後にLayerZeroを離れた最初の主要プロトコルとなります。攻撃事件では、LayerZeroが駆動するOFTブリッジが1-of-1の単一検証者構成を使用しており、当時47%のLayerZeroアプリケーションが同じ構成を使用していました。その後、LayerZeroは署名リストの検証者構成を停止することを発表しました。Kelp DAOは、Chainlink CCIPへの移行が攻撃中のアーキテクチャの脆弱性を直接解決したと述べています。rsETHはクロスチェーントークン標準も採用します。DeFi Unitedの救援活動の一環として、LayerZeroは約1万枚のETHを寄付し、Aaveに貸し出しました。

Cointelegraph の報道によると、クロスチェーンプロトコル ZetaChain は、最近約 33.4 万ドルの脆弱性攻撃事件に関与するセキュリティ問題が、脆弱性報奨金プログラムで研究者によって事前に報告されていたが、その時点ではプロジェクト側によって「予期される動作」と見なされ、対処されなかったことを明らかにしました。公式に発表された事故の振り返りによれば、今回の攻撃は、元々独立しているように見え、リスクが低い設計欠陥の組み合わせから発生しました：Gateway コントラクトは誰でも任意のクロスチェーン指示を送信できる；受信側はほぼ任意のコントラクトに対して呼び出しを実行でき、ブラックリストの制限が狭すぎる；一部のウォレットは長期間無限の承認（Unlimited Approval）を保持しており、清掃されていなかった。攻撃者は最終的にこれらの欠陥を組み合わせて、Gateway にトークンを直接自分の制御アドレスに転送させ、資産の移転を完了しました。ZetaChain は、この攻撃が Ethereum、Arbitrum、Base、BSC の 4 つのチェーン上で 9 件の取引に関与しており、盗まれた資金はすべて ZetaChain が管理するウォレットから来ており、ユーザーの資金には影響がなかったと述べています。公式は、この攻撃が明らかに計画的であるとしています。攻撃者は犯行の 3 日前に Tornado Cash を通じてウォレットに資金を注入し、専用の Drainer コントラクトを事前に展開し、さらにアドレス汚染（Address Poisoning）攻撃を実施しました。現在、ZetaChain はメインネットノードに修正パッチをプッシュし、任意呼び出し（arbitrary call）機能を永久に無効化し、預金プロセスにおける無限承認メカニズムを「正確な額の承認」に変更し始めています。

Polymarket の最新データによると、市場は「Kelp DAO が今回の損失を分担するかどうか」の現在の確率を 25% と見積もっています。この市場は 4 月 19 日の Kelp DAO ブリッジ攻撃事件を受けて設立されました。攻撃者は LayerZero のクロスチェーンメッセージの脆弱性を利用して、ブリッジから約 2.92 億ドルの rsETH を引き出し、L2 ネットワーク上の rsETH 保有者の担保が損なわれました。Polymarket の市場ルールに従い、Kelp DAO が 4 月 30 日前にメインネットの rsETH 保有者が一部または全ての損失を共同で分担するメカニズムを発表または実施した場合（L2 保有者が全て負担するのではなく）、この市場は「Yes」と判断され、それ以外の場合は「No」となります。

CoinDesk の報道によると、流動性再質押プロトコル Kelp DAO は、以前の 2.9 億ドルの rsETH ブリッジ攻撃事件に関する LayerZero の調査報告に異議を唱えました。Kelp DAO は、この攻撃を引き起こした単一バリデーター（1/1）設定は、彼らが提案を無視した結果ではなく、LayerZero の公式ガイドラインにおけるデフォルト設定であり、攻撃者が利用したバリデーターネットワーク（DVN）は LayerZero の独自インフラであると主張しています。この攻撃により 116,500 枚の rsETH が盗まれ、約 2.9 億ドルの価値が失われました。セキュリティ研究者は、LayerZero の公開デプロイコードがイーサリアム、バイナンススマートチェーン、Polygon、Arbitrum、Optimism などのネットワークでデフォルトで単一ソースバリデーション設定を採用していることを指摘しています。LayerZero はその後、単一バリデーター設定を使用するアプリケーションへのメッセージ署名を停止し、安全な移行を強制することを発表しました。

Kelp DAO の攻撃者が盗まれた rsETH を使用して Aave で担保を行い ETH を借りたため、Aave に悪化した債権が発生した疑いがありますが、具体的な金額はまだ不明です。Aave の公式は次のように述べています："Aave V3 と Aave V4 の rsETH 市場は凍結されました。私たちは攻撃発生後に Aave で発生した rsETH の借入情報を確認しており、できるだけ早く詳細を共有します。この事件によりプロトコルが悪化した債権を蓄積した場合、損失を補填する方法を検討します。"OKX の市場では、AAVE は現在 105.15 USDT で、24 時間で 9.56% 下落しています。

CoW Swapは、cow.fiドメインの管理権を回収し、cow.financeで正常に運営されていることを発表しました。現在、元のドメインへの移行を徐々に進めています。公式によると、攻撃者は4月14日に偽造書類を用いてDNS登録業者を欺き、cow.fiドメインの管理権を取得しました。攻撃者は高度に模倣されたフィッシングサイトを展開し、2段階で実施しました。最初にウォレットスティーラーを通じてユーザーに悪意のある取引に署名させ、次に偽のウォレットポップアップを通じてリカバリーフレーズとパスワードを盗みました。この攻撃はドメイン登録業者を対象としており、CoW Swap自体のインフラや秘密鍵の漏洩ではありません。影響を受けたユーザーは、Revoke.cashなどのツールを使用してすべての権限を取り消し、資金を新しいウォレットに移すことを検討するべきです。

ブロックチェーン相互運用プロトコル Hyperbridge は、以前の DOT 攻撃事件の詳細を公開し、損失は約 23.7 万ドルであると発表しました。脆弱性の根源は、HandlerV1 コントラクトの VerifyProof() 関数に入力検証が欠如しており、leaf_index leafCount の検証が行われていなかったため、攻撃者が Merkle 証明を偽造できることにあります。攻撃者はこれを利用して、イーサリアム上の DOT トークンブリッジコントラクトの管理者権限を取得し、すぐに 10 億枚のブリッジ DOT を増発しました（合法的な流通量約 35.6 万枚の 2800 倍以上）。そして、分散型取引所で現金化しました。Hyperbridge は、現在安全なパートナーと共に資金を追跡しており、調査が完了するまでクロスチェーン機能は引き続き停止すると述べています。

CoinDesk の報道によると、ブロックチェーン分析会社 Elliptic は、Drift Protocol が攻撃を受け、2.85 億ドルの損失を被ったと述べており、「複数の兆候」が北朝鮮支援の DPRK ハッカー組織を指し示しています。Elliptic は、オンチェーンの行動、マネーロンダリングの手法、およびネットワークレベルの信号を重点的に分析し、これらが以前の国家関連の攻撃と一致していることを示しています。Elliptic の報告書は次のように指摘しています。「もし確認されれば、これは Elliptic が今年追跡した 18 番目の DPRK 攻撃であり、これまでに 3 億ドル以上が盗まれています。」技術的な観点から、Elliptic はこの攻撃を「計画的で、入念に準備された」と説明しており、主要な攻撃の前に早期のテスト取引と事前に配置されたウォレットが存在していました。攻撃が実行された後、資金は迅速に統合され、クロスチェーンで移転され、流動性の高い資産に変換され、資金の出所を混乱させつつも制御を維持するための組織的で再現可能なマネーロンダリングプロセスが形成されました。この事件は 10 種類以上の資産タイプに関与しており、資金は Solana からイーサリアムおよび他のチェーンにクロスチェーンで移転され、クロスチェーンの追跡能力の重要性がさらに浮き彫りになっています。Drift Protocol は Solana ブロックチェーン上で最大の分散型永久契約取引プラットフォームであり、そのトークンはハッカー攻撃を受けて以来 40% 以上下落し、約 0.06 ドルとなっています。

Perenaの創設者AnnaはXプラットフォームで、彼らのUSD、USD-J、USD*-P製品はDriftイベントの影響を受けていないと述べましたが、Trade Neutralが管理するJLP金庫はDriftプロトコル金庫で運用されているため影響を受けています。チームはパートナーからの更新を受け次第、迅速にコミュニケーションを取る予定です。

Solana の流動性プロトコル Orca の CEO マイケル・ファンがツイートで、Orca は Drift の攻撃事件の影響を受けておらず、ユーザーの資金は安全であると述べました。彼のスマートコントラクトは 4 社の独立監査会社の審査を通過しており、オペレーションセキュリティ（Opsec）対策も最近外部のセキュリティコンサルタントの審査を受けました。

DeFiプロジェクトSteakhouse Financialは、昨日OVH Cloudに対する電話社会工学攻撃を受けたことを発表しました。攻撃者はメインサイトとアプリのサブドメインのDNS Aレコードを悪意のあるIPに変更し、5日間のドメイン移転を試みました。現在、関連する変更は撤回され、DNSレコードはクリアされ、OVHと協力して解決に向けています。すべての金庫と契約は影響を受けておらず、預金者の資金は安全で、他のサービスアカウントは侵害されていません。問題が解決するまで、公式サイトやメールとのやり取りは行わないでください。詳細な事後報告はできるだけ早く発表されます。今朝、Steakhouse Financialは、公式サイトのドメインDNSレコードがクリアされている間、金庫はMorphoを通じて直接アクセス可能であり、預金、引き出しなどすべての機能が正常であることを報告しました。フロントエンドが復旧した後、別途確認されます。

暗号分析家 Cipher（@CipherResearchx）の統計によると、分散型金融（DeFi）分野では少なくとも15件のセキュリティ攻撃事件が発生し、累計損失額は1.37億ドルを超えています。各事件の損失額は以下の通りです：Step Finance 約2730万ドル、Truebit 約2620万ドル、Resolv 超2500万ドル、SwapNet 約1340万ドル、YieldBlox 約1097万ドル、SagaEVM 約700万ドル、Makina 約500万ドル、IoTeX 約440万ドル、Aperture Finance と Venus Protocol 各約370万ドル、CrossCurve 約280万ドル、Solv Protocol 約270万ドル、FOOMCASH 約230万ドル、Moonwell 約180万ドル、TMX 約140万ドル。

Euler LabsはXプラットフォームで、Resolvが報告したUSRの無許可増発のセキュリティ事件に注意を払っていると述べ、チームは積極的に調査を行っている。予防措置として、Arbitrum上のEuler Yield金庫におけるRLP担保機能を無効化し、Euler Earn USDC（Arbitrum）もEuler Yieldへの資金配分を停止した。Euler Labsは、上記の措置は潜在的なリスクエクスポージャーを隔離することを目的としており、現在も事件の影響を継続的に評価していると述べ、今後の進展については適時開示する予定である。

Resolv Labsが脆弱性攻撃を受けた件について、イーサリアムのステーキングプロトコルLidoはXプラットフォームで声明を発表し、コミュニティの貢献者が今回のハッカー攻撃を認識していることを示しました。現在、Lido Earnのユーザー資金は安全であり、当面の間、何らかの行動を取る必要はありません。

DeFi研究とリスク管理会社Gauntletは次のように発表しました："北京時間今日10:21、ResolvのUSR契約が攻撃され、攻撃者は約10万枚のUSDCを使って5000万枚のResolv USD（USR）を鋳造しました。チームは事件に積極的に対応し、流動性を管理しています。最新の状況を引き続き提供します。ほとんどのGauntlet財庫は影響を受けておらず、一部の高利回り財庫には限られたリスクがあります。流動性を監視しており、進捗を継続的に更新します。"

慢雾余弦は X プラットフォームで次のように発表しました："あるグループがハッキングされている事件が発生しています。ハッカーのアドレス：0x913efc2062984288a0a083cd42b3a3422c07fcef、現在ハッカーは累計で 8.5 万ドルの利益を上げており、まだ増加しています。コミュニティのフィードバックによると、このグループは主に羊毛を刈るプレイヤーに属しており、プライベートキー/ニーモニックフレーズがハッカーによって事前に収集されています。ハッカーは関連資金を集めています。もし MoreLogin フィンガープリンターを使用している場合は必ず注意してください。ただし、現時点では MoreLogin または関連プラグインに問題があるという証拠はありません。"