ヴィーナスプロトコルで取引ミスが発生—3000万ドル損失|Cyversが確認
DeFi業界に衝撃—ヴィーナスプロトコルで大規模な取引エラーが判明した。
サイバーセキュリティ企業Cyversが確認したところ、プロトコルのスマートコントラクトに起因する取引実行ミスにより、約3000万ドルが失われた。被害は複数のユーザーに及び、資金の返還プロセスは現在調整中だ。
技術的な問題点
オラクルのデータ取得遅延と契約の条件判定ロジックに不整合が生じ、想定外の取引が実行された模様。ヴィーナスチームは緊急メンテナンスを実施し、問題の修正を進めている。
業界への影響
今回の事例は、DeFiプロトコルが抱える技術的リスクを改めて浮き彫りにした。『コードは法律である』という理念が、時に高額な授業料を要求することになる—伝統金融機関ならFSAが即座に介入する規模の損失だ。
今後の展開
プロトコル側は保険基金による補填を検討中とされるが、詳細なスケジュールや方針は未発表。ユーザーには一時的な取引停止と資金移動の慎重な判断が求められる。
フィッシング詐欺でVenus Protocolユーザーが3000万ドルの被害、プロトコルのハッキングではない
PeckShieldは最初にこの疑わしい活動を指摘し、ヴィーナスプロトコルのユーザーがフィッシング詐欺の被害に遭い、約2700万ドルを失ったと報告した。
#PeckShieldAlert A user of @VenusProtocol has been drained ~$27M in crypto after falling for a #phishing scam.
The victim approved a malicious transaction, granting token approval to the attacker's address (0x7fd8…202a) for asset transfer. pic.twitter.cOM/NwkVlDxxOZ
攻撃者は、被害者を騙して悪意のある取引を承認させ、ウォレットから資産を無制限に移動できる権限を得た。
盗まれたトークンには、約1980万ドルのvUSDT、715万ドルのvUSDC、14万6000ドルのvXRP、2万2000ドルのvETH、さらに285BTCBが含まれており、観察者はこれを「世代を超えた富」と表現した。
DeFiアナリストのIgnasも意見を述べ、ビーナス自体は「意図通りに機能した」とし、事件は攻撃者が侵害されたウォレットからの事前承認を利用したことに起因すると指摘した。
一度の悪い承認で終わりだ。それがDeFiの暗黒面だ。オープンな承認は強力だが、注意しないと致命的だ
—— Crypto JARgon
この意見はコミュニティ全体で共感を呼び、承認の定期的な取り消し、未確認リンクの回避、ホットウォレットに頼らずハードウェアウォレットを使用するなどのベストプラクティスに関する警告が再浮上した。
CyversはBeInCryptoへの声明でこれを確認した。
はい、ユーザー側のエラーであり、プロトコルレベルではありません
—— Cyvers
盗まれた資金は交換されず、攻撃者のコントラクトアドレスに保持されている。
この事件は、経験豊富なDeFiユーザーでさえ洗練されたフィッシングスキームに脆弱であることを示している。被害者を騙してトークン承認を与えさせることで、攻撃者はビーナスプロトコルから2700万ドルを単一の取引で奪うことができた
—— Cyvers セキュリティオペレーションリード ハカン・ウナル
Bunni DEXの脆弱性で840万ドル流出
別の事件では、Uniswap v4上に構築されたという分散型取引所(DEX)が、イーサリアムとUniChainで840万ドル以上を流出させるエクスプロイトに遭った。
ヴィーナスプロトコルのケースとは異なり、これはプロトコルレベルでの本物の脆弱性だった。
Bunniは、チームが調査を進める中で、すべてのネットワークでスマートコントラクト機能を停止したと発表した。
Bunniアプリはセキュリティエクスプロイトの影響を受けた。予防措置として、すべてのネットワークでスマートコントラクト機能を停止した
—— Bunni
GOPlus Securityによれば、エクスプロイトはBunniのカスタム流動性分配機能(LDF)の弱点から発生した。
ブロックチェーン開発者のビクター・トランは、攻撃者が慎重にサイズを調整した取引でカーブを操作した方法を説明した。
1. Bunni is a liquidity hook that runs on top of UniswapV4. Instead of using UniswapV4’s normal system, Bunni has its own liquidity curve called LDF (Liquidity Distribution Function).
2. After each trade, Bunni checks if its LDF curve has changed since the last trade. If it has,… https://t.co/uCSWXyuAt2
流動性の再バランス中に誤算を繰り返し引き起こすことで、攻撃者は本来より多くのトークンを引き出し、プールを枯渇させた後、2つのスワップステップで攻撃を完了した。
トランは、Bunniのフックが侵害された一方で、UNIswap v4自体は影響を受けていないと強調した。この2つの事件は、分散型金融(DeFi)における革新とセキュリティの脆弱なバランスを浮き彫りにしている。
ヴィーナスプロトコルの損失は、1回のクリックで財産が消える可能性を示している。一方、Bunniのエクスプロイトは、新しいメカニズムの精度の欠陥が流動性を露呈する方法を明らかにしている。
数十億ドルがかかる市場では、人為的または技術的な1つのミスが壊滅的な結果を招く可能性がある。したがって、DeFiセクターが拡大する中で、ユーザー教育とプロトコルの厳格さが重要であり続ける。
