暗号資産で$1億1,600万が流出――BalancerがDeFi史上最大規模のハッキング被害

Balancer Protocolが重大なセキュリティ侵害を受ける

Balancer Protocolは、複数のブロックチェーンネットワークを標的とした高度なクロスチェーンエクスプロイトにより、1億1,600万ドル超の甚大な損失を被りました。これは近年における分散型金融（DeFi）領域で最大級のセキュリティ事件の一つです。本件は、DeFiプロトコルが依然として高度な攻撃手法に脆弱であること、そして暗号資産エコシステムにおける強固なセキュリティ対策の必要性を改めて示しています。

Balancer Protocolからの暗号資産大量流出は、単なる経済的損失だけでなく、分散型金融プラットフォームが抱えるセキュリティ上の課題を鮮明に浮かび上がらせています。1億1,600万ドル超の様々な暗号資産が、複数のブロックチェーンを跨いだ綿密かつ高度な計画による攻撃で組織的に流出しました。

このエクスプロイトは早朝に最初に検知され、ブロックチェーン分析企業Lookonchainが初期警告を発し、Balancerが7,060万ドル相当の暗号資産を流出させたと報告しました。調査の結果、攻撃者は複数のブロックチェーン上でラップドイーサリアムやリキッドステーキングデリバティブなどを大量に抜き取っており、クロスチェーン脆弱性やDeFiアーキテクチャに精通していることが分かりました。

初期の解析によると、攻撃者は複数のブロックチェーン上のプールから6,587 WETH（約2,446万ドル）、6,851 osETH（約2,686万ドル）、4,260 wstETH（約1,927万ドル）を抽出しました。これらの取引の精度と連携は、偶然の犯行ではなく、入念な調査と計画に基づく組織的なオペレーションであったことを示唆しています。

Balancerによる1億1,600万ドル規模のDeFiエクスプロイト発生

事態は急速に展開し、攻撃はリアルタイムで進行しました。検知からわずか30分以内にLookonchainが攻撃継続中であることを報告し、盗難資産総額は1億1,600万ドルを突破しました。この急展開は、システムの脆弱性と攻撃者の複数チェーン同時取引能力を証明しています。

このエクスプロイトの規模と技術力は、複数のDeFiエコシステムを跨ぐ高度な連携オペレーションであり、Balancerの流動性構造への深い知識に裏付けられています。攻撃者はクロスチェーンブリッジや流動性プールの仕組み、複雑な取引手法を駆使し、資産抽出を最大化しつつ検知回避も試みました。

状況の進展に伴い、オンチェーンデータ追跡によりハッカーのDeBankポートフォリオには約9,500万ドル相当の盗難資産が保持されており、約2,100万ドルはすでに複数のウォレットに分配済みでした。こうした分配は、暗号資産盗難でよく見られるマネーロンダリングの手法であり、攻撃者が資金の流れを複雑化させ、プライバシー重視のサービスや分散型取引所での換金準備を進めていることを表しています。

このエクスプロイトはDeFiエコシステム全体に波及し、Balancerのコードベースをフォークしたプロジェクトやその技術を統合したプロジェクトに大きな影響を及ぼしました。関連プロトコルの多くが直接的なセキュリティ侵害を報告したり、ユーザー資産保護のための予防措置を講じたりしています。この波及効果は、主要プロトコルの脆弱性が多くの依存・類似プロジェクトへ広範に影響するDeFiエコシステムの相互接続性を強調しています。

攻撃のニュースが暗号資産コミュニティに広まると、即座にパニックによる資産引き出しが始まりました。特に、3年間休眠していたクジラウォレットが突如としてBalancerプールから650万ドルを引き出した事例は象徴的です。こうした行動は、セキュリティインシデント時に無関係なユーザーも自己資産確保に動き、プロトコルの流動性問題を一層深刻化させる市場心理を反映しています。

主要DeFiプロトコルの対応

暗号資産コミュニティおよび主要DeFiプロトコルは、自身のリスクを評価し、潜在的な影響についてユーザーと迅速に情報共有しました。こうした素早い対応は、DeFiエコシステムの危機管理力向上と、セキュリティインシデント時の透明なコミュニケーションの重要性を示しています。

イーサリアムエコシステムの主要リキッドステーキングプラットフォームLidoは、最初に公式声明を発表したプロトコルの一つです。Lidoは、Lido関連資産を含むBalancer V2の一部プールがエクスプロイトの影響を受けたことを確認しましたが、コアプロトコル基盤と大多数のユーザー資産は完全に安全で影響を受けていないとすぐに説明しました。

Lidoの公式発表では、影響を受けたプールと資産保護のための対策が詳しく説明されました。プロトコルは「念のため、Lido GGV運営のVedaチームは、影響を受けていないBalancerポジションを撤退しました」と述べており、直接的な被害が限定的でも防御的措置を講じることの重要性を示しています。

一方、DeFiレンディング分野の大手Aaveは、自身がBalancerエクスプロイトの影響を受けていないことを強調し、ユーザーへの安心感を提供しました。Aaveは独自のアーキテクチャとカスタム実装により、今回の攻撃ベクトルの影響を受けていません。この違いは、広範なセキュリティインシデント時のユーザー信頼維持に不可欠です。

Aaveの技術チームは、Aave/stETH stkBPTプールがBalancer V2のカスタムバージョンを採用しており、Balancerの脆弱なコンポーネントとは独立していると説明しました。このカスタム実装はAaveのセーフティメカニズムとリスク管理システムに統合されており、潜在的なエクスプロイトへの追加防御層となっています。

「AaveプロトコルはBalancer V2に依存しておらず、現時点で影響はありません」とAaveチームは公式に発表しています。この説明は即時のユーザー懸念に対応するとともに、DeFiプロトコル設計における独自性とセキュリティ強化の重要性を示しています。

根本原因は不明、調査継続中

大きな被害にもかかわらず、発生直後は技術的詳細や根本原因は明らかになっていませんでした。Balancer開発チームはセキュリティ侵害を認め、セキュリティ研究者やブロックチェーンフォレンジックの専門家と協力し、攻撃ベクトルの特定と再発防止策に着手しましたが、具体的な脆弱性や損失総額の詳細は未公表です。

独立系セキュリティ研究者の初期分析では、Balancer独自の流動性構造の脆弱性を狙った複雑なクロスチェーンエクスプロイトが示唆されています。プロトコルの革新的な自動マーケットメイキングと流動性提供の仕組みは通常運用時に利点がある一方で、巧妙な攻撃者による新たな攻撃面を生み出すリスクも明らかになりました。

今回の事件は、Balancer Protocolが過去にも重大なセキュリティ課題に直面してきたことを改めて浮き彫りにしています。以前にもスマートコントラクトのコード脆弱性による200万ドルの流出事件があり、より徹底的なセキュリティ監査や設計見直しが求められていました。

その後、V2プールから90万ドル超が流出するセキュリティ事件も発生しています。こうした繰り返しのエクスプロイトは、プロトコル開発・運用プロセスに根本的な設計上の脆弱性またはセキュリティ体制の不備がある可能性を示唆しており、根本設計が高度な攻撃に耐えられるかについて専門家の間で懸念が高まっています。

今回の大規模エクスプロイトと同様、過去の脆弱資産もイーサリアム、Polygon、Arbitrum、Optimism、Avalanche、Gnosis、Fantom、zkEVMなど複数のブロックチェーンに分散していました。このマルチチェーン脆弱性は、セキュリティ問題の根源がチェーン固有実装でなくコアプロトコルロジックにある可能性を示し、包括的な対策をより困難にしています。

高まるDeFiセキュリティ懸念

Balancerエクスプロイトは、複数のブロックチェーンエコシステムで分散型金融プロトコルを標的とする高度かつ破壊的な攻撃が増加している憂慮すべき流れの一部です。最近の攻撃はイーサリアムを超え、主要ブロックチェーンのほぼすべてに拡大しており、セキュリティ脆弱性が特定プラットフォームに限られず、全体に共通する課題であることを示しています。

暗号資産エクスプロイトの地理的・技術的拡大は、脅威の状況を大きく変化させています。攻撃者はイーサリアム系だけでなく、全主要ブロックチェーンネットワークの脆弱性を積極的に狙っています。攻撃対象の多様化は、代替チェーンへロックされた資産価値の増加と、暗号資産分野の攻撃者の進化を示しています。

最近では、Suiブロックチェーン上の分散型金融イールドプラットフォームNemo Protocolが高度なサイバー攻撃を受け、240万ドルの損失を被りました。攻撃はプロトコルの定期メンテナンス直前に発生し、内部情報流出や運用パターンの綿密な監視による最適攻撃タイミングの選定が疑われています。

Nemo Protocol事件と同日、スイスの暗号資産プラットフォームSwissBorgが4,150万ドル相当のSolanaトークンを流出させました。この事件は、SwissBorgが依存していたパートナーAPIプロバイダーKilnのセキュリティが突破されたことが原因であり、セキュリティの強いプロトコルでも外部サービス経由で侵害されるリスクを示しています。

また、Suiブロックチェーン上の分散型取引所Cetus Protocolも、2億ドル超の資産流出を伴うエクスプロイト被害を受けています。新興ブロックチェーンでも、最新のセキュリティ機能や設計を謳っていても、依然として重大なリスクが存在することが明らかになりました。

ブロックチェーンセキュリティ企業PeckShieldの調査によれば、暗号資産ハッキングによる損失は直近1か月で1億2,706万ドルに達し、分散型金融やブロックチェーンプラットフォームへの大規模攻撃リスクが増大していることが示されています。この数字は業界全体が直面するセキュリティ危機の一端を示しており、インフラや対策強化の緊急性を強調しています。

全体として、最近の暗号資産エクスプロイトによる損失総額は約21億ドルに達し、前年の損失額にほぼ匹敵します。この傾向は、セキュリティへの意識や投資が進んでも攻撃者の手法が高度化し、ブロックチェーンプロトコルの侵害やユーザー資産盗難が深刻化していることを示しています。

暗号資産ハッキングが繰り返される理由

暗号資産エコシステムにおける継続的な脆弱性の根本原因を理解することは、効果的な対策やDeFiプロトコル全体のセキュリティ体制向上に不可欠です。業界専門家は、ブロックチェーンプラットフォームや分散型アプリへの攻撃が続発する主な要因を複数挙げています。

Immunefiの創設者兼CEO、Mitchell Amadorは、暗号資産業界が抱える体系的なセキュリティ課題に関して重要な指摘をしています。多数のインシデント分析とプロジェクト協働を通じ、Amadorは暗号資産ハッキング多発の主因を三つに整理しています：

静的監査： 多くのブロックチェーンプロジェクトやDeFiプロトコルは、ローンチ前や主要アップデート時の一度限りのセキュリティ監査に強く依存しています。監査は有用ですが、プロトコルのセキュリティ状況を特定時点しか評価できません。スマートコントラクトやDeFiプロトコルは、アップグレードや他プロトコルとの連携、エコシステムの変化で常に進化します。監査時点でなかった脆弱性が後から生じることも多く、このアプローチではリリース後の動的な環境下で発生するセキュリティリスクを十分にカバーできません。

インセンティブ構造の軽視： 多くの開発チームはWeb3エコシステムで熟練攻撃者を動機付ける強力な経済インセンティブを過小評価しています。ブロックチェーン台帳の透明性により、攻撃者は高価値ターゲットを容易に特定し、プロトコル構造を分析して脆弱性を発見できます。従来金融ではエクスプロイトの可能性が隠れることもありますが、ブロックチェーンの透明性は攻撃者の利益計算を容易にします。プロトコル側は、ブラックハットの利益を上回るバグ報奨金制度を導入し、ホワイトハットによる脆弱性報告を促進する必要があります。

Web3固有の専門知識不足： ブロックチェーン分野に参入する開発チームの多くは、Web2由来であり、Web3特有のセキュリティ課題への知識が不足しています。複数プロトコルの相互作用によるコンポーザビリティ脆弱性、オラクル操作リスク、フロントランニング攻撃、スマートコントラクトコードの不変性など、ブロックチェーン固有のリスクを十分に理解していないため、従来の基準では安全でもブロックチェーン環境では重大な脆弱性となる設計や実装が生まれます。

FAQ

Balancerプロトコルで悪用された具体的な脆弱性は何ですか？攻撃者はどのようにして1億1,600万ドルを盗みましたか？

攻撃者はBalancerのプールロジックの脆弱性を突いてフラッシュローンを用い、トークン価格計算を操作し流動性プールから資産を流出させました。複雑な取引で資産評価を歪め、プロトコルが対応する前に複数プールから1億1,600万ドルを抜き取っています。

今回のBalancerエクスプロイトで影響を受けたユーザーと流動性プールはどれですか？

このエクスプロイトはBalancer上の複数流動性プールに影響し、主に該当プールへ資産を預けていたユーザーが被害を受けました。総額約1億1,600万ドル相当の暗号資産が流出し、様々なトークンペアと流動性提供者が影響を受けています。

Balancerチームは今回のセキュリティインシデントにどのように対応しましたか？補償プランはありますか？

Balancerチームはエクスプロイトを認め、影響プールを停止し、調査を開始しました。被害ユーザーへの補償基金を設立し、詳細や分配スケジュールは回復作業の進捗に合わせて段階的に発表されています。

この脆弱性はDeFiプロトコルにどのようなセキュリティリスクを示していますか？過去にも同様の事例はありますか？

このエクスプロイトは、スマートコントラクト脆弱性や不十分なセキュリティ監査がDeFiに存在することを示しています。Curve FinanceやCompoundでも同様の事例があり、流動性プールやプロトコルロジックの欠陥によるリスクが顕在化しています。より高度なコードレビュー基準の導入が求められています。

投資家はDeFiプラットフォームのセキュリティをどのように評価すべきですか？Balancerなど利用時の注意点は？

スマートコントラクト監査、運営チームの評判、透明なガバナンスでセキュリティを評価しましょう。リスク管理策として資産分散、コントラクトアドレスの確認、マルチシグウォレットの利用、プロトコル更新の監視、少額運用を推奨します。定期的なセキュリティ評価とコミュニティの意見も重要です。

この脆弱性はDeFiエコシステム全体や暗号資産市場にどう影響しますか？

今回のエクスプロイトは、DeFi全体のセキュリティ監査やスマートコントラクトテスト基準強化を促進します。一時的にユーザー信頼が低下する可能性がありますが、分散型保険プロトコルやマルチシグセキュリティ対策の導入が加速し、最終的にはエコシステムの耐性が高まります。

BalancerのセキュリティはUniswapやCurveなど主要DeFi流動性プロトコルと比べてどうですか？

Balancerは厳格な監査体制と分散型ガバナンスにより高いセキュリティ基準を維持しています。2023年のエクスプロイトで脆弱性が表面化しましたが、強化策を実施済みです。Uniswap、Curve、Balancerは同様の監査体制を採用していますが、いずれもリスクがゼロとは言えません。Balancerはセキュリティ基盤の強化を続けています。