4月の暗号資産ハッキングが記録を更新、悪用件数が20件を突破

4月はインシデント件数で暗号資産史上最もハッキングの多い月となり、DeFiLlamaが28件のエクスプロイトと6億3,520万米ドル（豪ドル8億8,200万ドル）の損失を追跡する中、2件のインフラ障害が被害の大半を占めた。

DeFiLlamaのハッキングデータベースでは、KelpDAOが2億9,300万米ドル（豪ドル4億730万ドル）で4月最大のインシデントとなり、次いでDrift Protocolが2億8,500万米ドル（豪ドル3億9,620万ドル）だった。2件の攻撃を合わせると5億7,800万米ドル（豪ドル8億340万ドル）となり、データベースが追跡した4月の損失総額の約91%を占めた。

残りの月間インシデントは規模は小さいものの件数は多かった。DeFiLlamaはRhea Lendが1,840万米ドル（豪ドル2,560万ドル）、Grinexが1,500万米ドル（豪ドル2,090万ドル）、Wasabi Perpsが550万米ドル（豪ドル760万ドル）のほか、DeFi、ウォレット、インフラにわたる20件以上の追加インシデントを記録した。

関連記事：Strategyのハイイールドストックはビットコインのサージを牽引し続ける、とBitwise CIOが語る

KelpDAOブリッジ障害

Chainalysisによると、北朝鮮のLazarus Groupに関連する攻撃者が4月18日、KelpDAOのLayerZeroブリッジから約2億9,200万米ドル（豪ドル4億590万ドル）相当の116,500 rsETHを盗んだ。同ブロックチェーン分析会社は、このインシデントは「スマートコントラクトの脆弱性ではなく」、オフチェーンインフラへの攻撃だったと述べた。

Chainalysisによれば、侵害されたRPCノードと外部ノードへのサービス拒否攻撃により、1-of-1検証者の設定に誤ったデータが送り込まれた。その結果、基礎となる状態が改ざんされていたにもかかわらず、システムには有効なトランザクションに見えるよう処理された。

KelpDAOはエクスプロイト後にコントラクトを一時停止し、約9,500万米ドル（豪ドル1億3,210万ドル）相当の40,000 rsETHの2度目の窃盗未遂を阻止したとChainalysisは述べた。Arbitrum Security Councilも攻撃者の下流資金30,766 ETHを凍結し、後続の資金移動の一部を制限した。

Aave流動性ショック

KelpDAOのブリッジアダプターが単一ブロックで116,500 rsETHを放出した後、攻撃者は46分以内にAave、Compound、Euler全体で担保をループさせ、約2億3,600万米ドル（豪ドル3億2,800万ドル）相当のWETHとwstETHを獲得した。

Glassnodeによると、Aave V3 Ethereum Coreの利用可能流動性は29時間以内に97億7,000万米ドル（豪ドル135億8,000万ドル）から57億5,000万米ドル（豪ドル79億9,000万ドル）に低下した。

4月18日、WETHの利用可能流動性はUTC17:00時点の6億8,900万米ドル（豪ドル9億5,770万ドル）からUTC19:00までに150万米ドル（豪ドル210万ドル）まで急落し、利用率が100%に達した。

Glassnodeはプロトコルコントラクト、オラクル、清算エンジンはすべて仕様通りに機能したと述べたが、このエピソードはブリッジ検証の失敗が貸出市場の流動性ストレスへと連鎖しうることを改めて露呈した。

この記事「4月、エクスプロイトが20件超に急増し暗号資産ハッキングで記録を更新」はCrypto News Australiaに最初に掲載された。