別の数百万ドル規模の攻撃がDeFi領域を襲った。今回、流動性プロバイダー兼マーケットメーカーのTrustedVolumesが、木曜夜のスマートコントラクトの脆弱性を通じて悪用された。
**関連記事:** Solana、三角ブレイクアウト後に新たな上昇を視野 – 96ドルが次のストップか?
**TrustedVolumes、670万ドルのハッキング被害**
木曜日、DeFiプラットフォームTrustedVolumes(1inchの流動性プロバイダー兼マーケットメーカーの1つ)が新たな悪用により、プロジェクトから数百万ドル相当のさまざまな資産を流出させられた。ブロックチェーンセキュリティ企業のPeckShieldとBlockaidによると、攻撃者は約600万ドル相当のラップドイーサリアム(WETH)、ラップドビットコイン(WBTC)、USDT、USDCを盗んだ。これは、プロトコルの中核的な署名検証ロジックの欠陥を悪用し、認証チェックを回避して偽の取引注文を作成することで行われた。
注目すべきは、ハッカーが盗んだ全資産を分散型取引所(DEX)で迅速に2,513 ETHに交換し、3つの異なるアドレスに分散させたことだ。Xへの投稿で、TrustedVolumesはこのインシデントを確認し、現在盗難資金を保有するアドレスを共有し、推定損失を約670万ドルに更新した。
脆弱性は、TrustedVolumesが管理するカスタムRFQ(見積依頼)スワッププロキシにあった。暗号研究者のHumphrey氏は、「カスタムRFQスワッププロキシコントラクトには、『承認済み注文署名者』のホワイトリストを管理するための機能がある。これらのホワイトリストシステムはDeFiで一般的であり、リスト上のアドレスだけがプロトコルに代わって有効な取引指示を発行できる」と説明した。しかし、同氏は「この登録機能は公開されており、権限制限がない」と指摘した。その結果、攻撃者はこの公開機能を使用して自身を承認済み注文署名者として追加した。「外部アドレスなら誰でもこの関数を呼び出せるため、全員に金庫の鍵をコピーする能力を与えるようなものだ」と研究者は付け加えた。
**同じハッカー、異なる攻撃**
オンラインレポートによると、攻撃者は2025年3月に1inch Fusion V1 Settlementコントラクトの500万ドル規模の悪用を行った人物と同じであり、その際もTrustedVolumesが主な被害者だった。Humphrey氏は、同じ個人が両方の攻撃を実行したものの、技術的レベルでは大きく異なると述べた。
投稿によると、2025年の脆弱性は1inch Fusion V1 Settlementコントラクトにおける低レベルのEVMメモリ操作に関係していた。当時、ハッカーは「積極的にオンチェーン交渉を開始」し、ホワイトハットバウンティと引き換えに盗んだ資金を返却することを申し出た。DeFiプラットフォームはこの申し出を受け入れ、資金の大部分は安全に返還された。現在、TrustedVolumesは「バグバウンティと相互に受け入れ可能な解決策について建設的なコミュニケーションを受け入れる」と述べている。
分散型取引所アグリゲーターの1inchは、そのシステム、インフラストラクチャ、およびユーザー資金は影響を受けていないと明らかにした。同社は「TrustedVolumesは流動性プロバイダーとして独立して運営されており、業界全体の多くのプロトコルで使用されており、1inch専用ではない」と説明した。
**DeFi悪用が歴史的な急増**
この攻撃は、過去1ヶ月間にDeFiセクターを揺るがした一連の悪用に続くものだ。先週、PeckShieldは、暗号空間で4月に40件の主要なハッキングが発生し、約6億4700万ドルが流出したと報告した。
**関連記事:** 1億5000万ドルの暗号ポンジが崩壊:DSJ取引所の崩壊で4150万ドルが凍結
この数字は、3月の5220万ドルから月間で1,140%の増加を示している。また、2026年第1四半期にDeFiセクターで失われた1億6500万ドルから292%の急増を表している。注目すべきは、今月の2大インシデント(Drift Protocolの2億8500万ドルの悪用とKelpDAOの2億9000万ドルの悪用)が、4月に失われた資金の91%を占めたことだ。これらの2つの攻撃は、2021年以来のトップ10のハッキングにランクインしている。
注目の画像はUnsplash.comから、チャートはTradingView.comから
よくある質問
以下は、TrustedVolumesのハッキングに関するFAQのリストで、自然で明確かつ簡潔なトーンで書かれています。
FAQ TrustedVolumes 670万ドルハッキング
初心者レベルの質問
Q TrustedVolumesに何が起こったのですか?
A TrustedVolumesと呼ばれるDeFiプラットフォームがハッキングされました。攻撃者はそのスマートコントラクトから約670万ドル相当の暗号通貨を盗みました。
Q 現在、TrustedVolumes上の私のお金は安全ですか?
A いいえ、プラットフォームは侵害されています。影響を受けたコントラクトに資金があった場合、それらは失われている可能性が高いです。回復計画や凍結に関する最新情報については、直ちにTrustedVolumesからの公式発表を確認する必要があります。
Q スマートコントラクトハッキングとは何ですか?
A スマートコントラクトは、ブロックチェーン上の自己実行型のデジタル契約のようなものです。ハッキングとは、攻撃者がそのコード内の欠陥(隠れたバックドアや論理エラーなど)を見つけ、それを利用して資金を流出させることを意味します。
Q 盗まれたお金は戻ってきますか?
A 非常に可能性は低いです。ほとんどのDeFiハッキングでは、盗まれた資金は迅速に移動され、ミキサーや他のブロックチェーンを通じて洗浄されるため、回収は極めて困難です。保証はありません。
Q 2026年にこれが起こったのはなぜですか?DeFiプラットフォームは今やより安全ではないのですか?
A 残念ながら、そうではありません。セキュリティは向上しましたが、ハッカーもより洗練されています。新しい複雑なプロトコル、急いで行われたコード更新、オラクル操作攻撃は依然として一般的です。2026年はこれらの悪用が急増しています。
上級者レベルの質問
Q TrustedVolumesに対してどのような特定の種類の悪用が使用されましたか?
A 完全な監査は保留中ですが、初期の報告ではフラッシュローン攻撃と価格オラクル操作の組み合わせが示唆されています。攻撃者は無担保で大量の暗号通貨を借り入れ、TrustedVolumes上のトークン価格を人為的に変更し、ローンを返済する前に借りた資産を利益で売却しました。
Q これはコードのバグでしたか、それとも秘密鍵が盗まれたのですか?
A これは管理者キーの盗難ではなく、スマートコントラクトのロジックバグであると思われます。攻撃者は、特定の取引機能中にプラットフォームが担保比率を計算する方法の欠陥を悪用しました。これは、侵害されたパスワードではなく、コード自体が脆弱性であったことを意味します。