Aftermathは、同社のパーペチュアルプロトコルに影響を与えるエクスプロイトを確認しました。これは、分散型金融(DeFi)全体で広範な損失が発生した今月における最新のセキュリティインシデントとなります。
チームによると、この問題はマイナスのビルダー手数料の設定を可能にした欠陥に起因しており、約$1.14mの損失をもたらしました。予防措置としてプロトコルは一時停止されましたが、影響を受けていないプロダクトは引き続き稼働しています。
このインシデントは、4月を通じて続くエクスプロイトの広範なパターンに加わるものであり、大規模な障害と小規模な脆弱性の両方が複数のプロトコルに影響を及ぼしています。
主要なエクスプロイトが4月の損失を席巻
今月報告された損失の大部分は、2件のインシデントによるものです。
Kelp DAOのrsETH関連エクスプロイトは最大規模の混乱の一つを引き起こし、推定影響額は~$292mに上ります。この問題は、ブリッジ関連の脆弱性を通じた裏付けのない資産のミントに関係しており、その後統合されたプロトコル全体に波及しました。
従来の意味での資金流出ではないものの、このイベントはシステミックリスクを生み出し、特にその資産にエクスポージャーのあるレンディングプラットフォームに影響を与えました。
もう一つの主要なインシデントはDrift Protocolに関するもので、担保操作と管理者アクセスに関連した攻撃により多大な損失が発生しました。攻撃の構造は典型的なエクスプロイトとは異なるものの、影響額は数億ドルと推定されています。
これらのインシデントを合わせると、4月の報告損失の大半を占め、その総額は$600mを超えており、利用可能なトラッキングデータに基づいています。
中規模のエクスプロイトも続出
最大規模の事例以外にも、複数の中規模エクスプロイトが今月の損失合計に寄与しています。
Rhea Financeは、不正なトークンコントラクトとオラクル操作を伴う攻撃により、約$7.6mの損失を被りました。
Grinex Exchangeは、複数のアドレスに影響する~$13.7mのウォレット流出を報告しました。
GiddyDefiは、署名リプレイメカニズムに関連する認証検証の欠陥により、約$1.3mを失いました。
CoW Swapも、ドメインハイジャック攻撃に関連する~$1.2mのインシデントを経験し、スマートコントラクトの脆弱性を超えたリスクを浮き彫りにしました。
小規模インシデントが根深い脆弱性を示す
エコシステム全体でいくつかの小規模なエクスプロイトも報告されています。
Silo Finance、Aethir、Dangoはそれぞれ、オラクルの設定ミス、アクセス制御の問題、またはコントラクトのバグに関連する損失を経験しました。Dangoのような一部のケースでは、ホワイトハットの介入により後に資金が回収されました。
より最近では、Scallop と Volo Protocolが、それぞれコントラクトロジックの欠陥と秘密鍵の漏洩に関わるインシデントを開示しました。これらのケースは規模が小さいものの、分散型金融(DeFi)のさまざまなレイヤーにおける脆弱性の頻度を改めて示しています。
断片化したリスク環境
総じて、4月のインシデントは単一の障害点ではなく、断片化したリスク環境を浮き彫りにしています。
エクスプロイトは以下の領域にわたって発生しています:
- スマートコントラクトロジック
- 鍵管理システム
- ドメインインフラ
- クロスチェーンブリッジ
- プロトコル設計パラメータ
この広がりは、分散型金融(DeFi)におけるリスクがコードの脆弱性に限らず、オペレーショナルセキュリティやシステムアーキテクチャにまで及ぶことを示しています。
最終まとめ
- Aftermathのエクスプロイトは4月のインシデントの波に加わるものであり、報告された損失は$600mを超え、その大部分はいくつかの主要なイベントによるものです。
- コントラクトのバグ、鍵の漏洩、インフラリスクが混在していることは、分散型金融(DeFi)におけるセキュリティ課題の多層的な性質を浮き彫りにしています。
Source: https://ambcrypto.com/aftermath-exploit-adds-to-aprils-growing-list-of-defi-security-incidents/
