Baseの主要DEX「Aerodrome」で、フロントエンドのセキュリティ侵害が疑われる事案が発生

DNSハイジャックによる緊急プロトコルロックダウンの実施

Baseブロックチェーン最大手の分散型取引所（DEX）であるAerodrome Financeは、最近、集中管理型ドメインインフラが侵害される高度なDNSハイジャック攻撃を受けました。このセキュリティ侵害により、乗っ取られたフロントエンドに埋め込まれた悪意ある署名リクエストを通じて、NFT・ETH・USDCを狙ったフィッシング攻撃がユーザーに及びました。

このインシデントの調査は、Aerodromeの技術チームが主要ドメインで異常を検知し、コミュニティへの公式警告発信の約6時間前に開始されました。早期発見により、攻撃が拡大する前に緊急対応を講じることができ、潜在的な被害の抑制につながりました。

状況の重大性を受け、プロトコルは直ちにドメインプロバイダーのBox Domainsに侵害の可能性を通知し、至急の調査と対応を要請しました。DNSハイジャックはDeFiエコシステムにおいて最も危険な攻撃手法の一つであり、ユーザーに気付かせずに正規のサイトから悪意あるサイトへ誘導し、多くの従来型セキュリティ対策をすり抜けます。

検知から数時間以内に、チームは.centralizedな2つのドメイン（.financeおよび.box）がいずれもハイジャックされて攻撃者のコントロール下にあることを確認しました。この2つのドメインが同時に侵害されたことは、単一プラットフォームを狙ったのではなく、Box Domainsインフラ全体への組織的な攻撃であると示唆されます。

プロトコルは全ての主要URLへのアクセスを遮断し、悪意あるインターフェースからユーザーを守るための緊急措置を講じました。同時に、利用者向けに安全性が検証された代替アクセス手段として、aero.drome.eth.limoおよびaero.drome.eth.linkの2つの分散型ミラーを提供しました。これらはEthereum Name Service（ENS）を利用しており、従来型DNSに依存せず、今回のようなハイジャック攻撃に本質的な耐性を持ちます。

インシデントを通じて、チームはユーザー資産の安全性維持に重要な事実を強調しました。スマートコントラクトのセキュリティは完全に保たれており、侵害はフロントエンドのアクセスポイントに限定されていたため、プロトコルの根幹ロジックやスマートコントラクト内のユーザー資産には直接的な脅威はありませんでした。この違いは、フロントエンド攻撃とスマートコントラクト攻撃の本質的な区別を理解するうえで重要です。

さらに、Aerodromeの姉妹プロトコルVelodromeも同時期に同様の脅威に直面し、ドメインセキュリティについて警告を発信しました。これら連携した警告から、攻撃者がBox Domainsインフラを標的とし、複数のDeFiプラットフォームを同時に侵害しようとしたこと、同じドメインプロバイダーを利用するより広いプロジェクト群にも影響が及ぶ可能性があることが示唆されます。

ユーザーによる複数資産の積極的な流出試行の報告

DNSハイジャックの実被害は、悪意のあるフロントエンドに遭遇したユーザーの詳細な報告によって明らかになりました。あるユーザーは、公式警告がコミュニティへ広がる前に自身が体験した被害経緯を詳細に共有し、ハイジャック攻撃手法の高度さが浮き彫りになりました。

侵害されたフロントエンドは、ユーザーが慣れ親しんだインターフェースへの信頼を突く巧妙な2段階攻撃を行いました。最初に、乗っ取られたサイトが「1」という数字のみの一見無害な署名を要求し、ウォレット接続を成立させることでユーザーの警戒心を下げました。

この初回署名承認直後、悪意あるインターフェースはNFT、ETH、USDC、WETHなど複数資産への無制限承認を連続して要求し、立て続けにプロンプトを表示しました。この手法は最初の無害なリクエストで信頼を得た上でユーザーを圧倒し、高度なフィッシングでよく用いられるソーシャルエンジニアリング戦略です。

被害者は攻撃の全プロセスをスクリーンショットや動画で記録し、最初の署名リクエストから複数の流出試行までの流れを把握できる証拠を残しました。これらはAerodromeチームの調査や、脅威理解のためのコミュニティ共有に貴重な資料となりました。

ユーザーはAIも使いながら独自調査を行い、ブラウザ設定・拡張機能・DNS設定・RPCエンドポイントを体系的に検証して、他の攻撃経路の可能性を排除。最終的に、観測された攻撃パターンがDNSハイジャックの手法と一致することを突き止めました。

このインシデントにより、別のコミュニティメンバーも最近の流出被害について共有しました。自らを暗号通貨ベテランかつフルスタック開発者と説明したこの人物は、高度な技術力やセキュリティ意識を持っていても、ユーザー体験の隙を突く洗練された手法の前では被害に遭うことがあると強調しました。

このユーザーは大きな資産を失った後、3日間かけてJitoバンドルベースのスクリプトを開発し、オンチェーンのステルス操作で盗まれた資産の回収を試みました。その結果、盗難資産の約10〜15%の回収に成功し、資産回収の困難さと、攻撃者の行動に脆弱性があれば技術的に対抗できる可能性を示しました。

これらのユーザー体験は、フロントエンド攻撃の高度化と、慣れたプラットフォーム利用時でも常に警戒が必要であることを示しています。また、DeFiエコシステムでは、コミュニティによる知見共有が新たなセキュリティ脅威への理解と対応に役立つことも明らかになりました。

直近月、今年最低の暗号資産ハッキング損失額を記録

Aerodromeのインシデントは、暗号資産市場全体が今年最も被害額の少ない月間を記録した節目のタイミングで発生しました。この好転傾向は、業界全体のセキュリティ体制が向上する中で、個別インシデントの深刻度を把握する上で重要な背景となりました。

ブロックチェーンセキュリティ企業PeckShieldの集計では、この期間の被害は15件・計$18.18百万で、前月の$127.06百万から85.7%減少しました。大幅な減少は、セキュリティ慣行の向上・インシデント対応力の強化・攻撃者活動の減少など複数要因によるものと考えられます。

さらに、月末のGarden Financeエクスプロイトがなければ、期間中の被害総額は$7.18百万前後にとどまっていました。これは2023年初頭以降で最も低い水準であり、業界のセキュリティ強化が進む中での重要な転換点となる可能性があります。

統計では3つの大規模インシデントが期間中の被害の大半を占めていました。Garden Finance、Typus Finance、Abracadabraの3件で計$16.2百万が流出し、少数の大きなエクスプロイトが月間統計に大きく影響することが示されました。

Garden Finance（Bitcoin P2Pプロトコル）は、月末に$10百万超のエクスプロイト被害を発表。プロトコルの運用を担うsolverが侵害され、被害はsolver自身のインベントリに限定され、スマートコントラクト上のユーザー資産への影響はありませんでした。

Typus Financeは、月中にオラクル操作攻撃を受け流動性プールから約$3.4百万が流出。TLP（Token Liquidity Pool）コントラクトの重大なバグが原因でした。トークン価格は約35%下落しました。オラクル操作攻撃は多くのプロトコルの中核となる価格フィードを損なうため、DeFiにおける重大な脅威です。

Abracadabra（DeFiレンディング）は、ローンチ以来3度目のエクスプロイトをほぼ同時期に受け、MIMステーブルコインで約$1.8百万の損失が発生。スマートコントラクトの脆弱性を突いた支払い能力チェックの回避により攻撃が成功しました。繰り返されるエクスプロイトは、セキュリティ監査や複雑なDeFiプロトコルの安全性維持の難しさを浮き彫りにしています。

これらのインシデントは個別には大きな被害ですが、オラクル操作、スマートコントラクト脆弱性、solver侵害、フロントエンド攻撃など多様な攻撃手法がDeFiプロトコルを脅かし続けています。期間中の被害額が比較的小規模だったことはセキュリティ対策の進展を示唆しますが、重大なエクスプロイトの継続発生は、エコシステム全体の包括的な安全確保に今後も取り組みが必要であることを示しています。

よくある質問

Aerodromeとは？Baseブロックチェーンでの役割は？

AerodromeはBase上で主要な分散型取引所（DEX）として、トークンスワップ、流動性提供、イールドファーミングを実現します。自動マーケットメーカーメカニズムにより、Baseエコシステム内の効率的な取引と資本運用を支えています。

今回のフロントエンド脆弱性の内容と、ユーザー資産の安全性への影響は？

フロントエンド侵害によってDEXインターフェースが損なわれ、ユーザーのセッションデータや取引情報が流出する恐れがありました。ただし、スマートコントラクトへのアクセスはなかったため、ユーザー資産は安全に保護されていました。ユーザーには一時的なサービス中断が発生しましたが、直接的な資産流出はありませんでした。

Aerodrome利用者が資産保護のために取るべき緊急対策は？

ウォレットを直ちに切断し、ブロックチェーンエクスプローラーでトークン承認を取り消し、資産を安全なセルフカストディウォレットへ移動してください。マルチシグ保護を有効化し、不正な取引がないかアカウントを監視し、セキュリティパッチの適用が確認されるまで影響を受けたインターフェースの利用を控えてください。

フロントエンド脆弱性とスマートコントラクト脆弱性の違い、リスクの大きさは？

フロントエンド脆弱性はユーザーインターフェースに影響し、フィッシングや情報窃取につながります。スマートコントラクト脆弱性はオンチェーンで資産や取引自体を直接侵害します。スマートコントラクト脆弱性の方がよりリスクが高く、恒久的な資産喪失につながる恐れがあります。一方、フロントエンド侵害は主にユーザー情報に影響し、ブロックチェーン上の資産に直接的な被害は及びにくいです。

同様のDEXフロントエンドセキュリティ侵害は前例がありますか？防止策は？

はい。過去にも複数のDEXがフロントエンド攻撃の標的となっています。予防策としては、ハードウェアウォレットの利用、URLの厳密な確認、ドメイン検証拡張機能の有効化、DNSレコードの確認、公式アプリリンクのみを利用することが有効です。マルチシグや定期的なセキュリティ監査も重要な防御策となります。

このインシデントがBaseチェーン上の他のDEXに与える影響・示唆は？

本件は、Baseの全DEXプラットフォームにとってフロントエンドセキュリティ監査の重要性を再認識させるものです。他プラットフォームもセキュリティ強化・多層防御の実装・定期的なセキュリティ評価により、同様のフロントエンド侵害を防ぎ、ユーザー資産の保護を徹底する必要があります。