Yearn FinanceのyETHが大規模なハッキング被害を受け、攻撃者は$3M相当のETHをTornado Cashに送金しました

yETHエクスプロイトの概要

分散型金融（DeFi）プロトコルの大手であるYearn Financeが、yETHプロダクトを巡る重大なセキュリティ侵害を受けました。この攻撃で、悪意のある者が一度の取引でyETHプール全体を流出させることができる無制限ミントの脆弱性が発生しました。この高度なエクスプロイトは、DeFiエコシステムにおける継続的なセキュリティ課題を浮き彫りにし、スマートコントラクトの脆弱性に対する懸念を喚起しました。

yETHは、リキッドステーキングに対する革新的な取り組みであり、複数のEthereum（ETH）リキッドステークバージョンを集約するインデックストークンです。具体的には、yETHは多様なEthereumリキッドステーキングデリバティブ（LSD）で構成されており、ユーザーは複数のステーキングプロトコルへの分散投資が可能です。このバスケット型の仕組みにより、ステーキング資産の流動性を維持しながらリスク低減を図っています。

Yearn Financeは、公式チャネルを通じて即座に本件を報告し、コア製品であるV2およびV3 Vaultが安全でエクスプロイトの影響を受けていないと利用者に伝えました。この区別は非常に重要で、これらのVaultが多額の利用者資金を保持し、プロトコルの主力製品であるためです。今回の脆弱性がyETHプロダクトのみに限定されたことで、エコシステム全体への波及が防がれました。

ブロックチェーンデータ分析によれば、攻撃者はミント脆弱性を利用してほぼ無限のyETHトークンを作り出し、yETH取引に流動性を提供していたBalancerプールから数百万ドルを段階的に流出させました。攻撃の精密さとスピードから、極めて高い技術力と周到な計画性が推察されます。

経済的損失も大きく、攻撃者は約1,000ETH（当時約$3百万相当）を抽出しました。盗難資金の追跡を困難にするため、攻撃者はTornado Cashという暗号資産ミキシングサービスを通じて資金を移動させ、オンチェーン上の送金元・送金先の結び付きを断ちました。この手法は、資金回収を複雑化させ、法執行機関の捜査を妨げる目的でハッカーによく利用されます。

攻撃はブロックチェーンセキュリティ研究者Togbe氏によって最初に発見され、複数のリキッドステーキングトークン（LST）を巻き込んだ異常な「大規模トランザクション」が特定されました。影響を受けたプロトコルにはYearn、Rocket Pool、Origin、Dineroが含まれ、リキッドステーキング領域全体を標的とした協調的な攻撃パターンが示唆されました。この早期発見はコミュニティの認知向上には寄与しましたが、エクスプロイト自体の阻止には至りませんでした。

yETH事件でDeFiセキュリティに注目

この攻撃の技術的実行には、スマートコントラクト設計の脆弱性を突く巧妙な手法が用いられました。エクスプロイト専用に新規デプロイされた複数のスマートコントラクトが悪意あるトランザクションを実行し、直後にセルフデストラクト（自己破壊）してブロックチェーン上の直接証拠を消去、フォレンジック調査を困難にしました。セルフデストラクションは、攻撃者が痕跡を隠して調査妨害するための既知のテクニックです。

正確な損失総額は調査中ですが、初期の評価では攻撃前のyETHプールの総額は約$1,100万とされています。プール総額と実際に抜き取られた$3百万の差から、すべての資金が流出したわけではない、または一部資産がプロトコル内でロックされたままであることがうかがえます。被害の全容把握には、影響を受けたスマートコントラクトや流動性プール全体の徹底的な監査が必要です。

DeFiコミュニティの反応は分かれており、分散型金融におけるセキュリティ体制を巡る議論が継続しています。一部からは、Yearn Financeが旧型のスマートコントラクトアーキテクチャを使い続けている点や、既知の脆弱性対策が十分かどうか疑問視する声が上がりました。一方で、十分に監査されたコードでも、実際に悪用されて初めて明らかになる予期せぬ弱点が存在し得るとの擁護意見も見受けられます。

この事件はYearn Financeにとって初のセキュリティ侵害ではありません。2021年にはyDAI Vaultで大規模なハッキングが発生し、$1,100万相当の損失を出しています。当時も攻撃者は約$280万を抜き取り、脆弱性修正まで影響が及びました。度重なるセキュリティインシデントは、同プロトコルのセキュリティ監査や脆弱性管理体制の有効性に疑問を投げかけています。

さらに、Yearn Financeは2023年12月に財務資産の63%が意図せず消失する不具合スクリプトを発見しました。これは外部攻撃ではないものの、外部・内部を問わず技術的なエラーで大きな損失が生じうることを示しています。これら一連の事例を受け、より厳格なテスト、スマートコントラクトの形式検証、セキュリティモニタリング強化が求められています。

yETHエクスプロイトは、DeFi業界が直面するより広範な課題を象徴しています。プロトコルが複雑化・連携深化するにつれ攻撃対象が拡大し、新たなエクスプロイトの機会が増加しています。リキッドステーキングデリバティブは利便性をもたらしますが、スマートコントラクト間の複雑な相互作用が新たな脆弱性を生み出すため、各連携ポイントごとに入念なセキュリティ分析が必要です。

また、攻撃者によるTornado Cashの利用は、暗号資産規制や法執行分野の課題を改めて浮き彫りにしました。ミキシングサービスは正当なプライバシー保護にも使われますが、盗難資金の洗浄にも多用されます。この二面性が、プライバシー推進派と金融犯罪防止を目指す規制当局の間で緊張を生んでいます。

今後に向けて、この事件はDeFi開発におけるセキュリティの極めて重要な役割を再認識させるものとなりました。プロトコルは網羅的なセキュリティ監査を徹底し、脆弱性発見を促すバグバウンティプログラムの導入や、新たな脅威への迅速な対応体制の構築が求められます。DeFiコミュニティ全体でも、ユーザーが各プロトコルのリスクを理解し、慎重な資産管理判断ができるよう、セキュリティ意識の強化が不可欠です。

yETHハックは、確立された大規模プロトコルでも高度な攻撃の標的となり得ることを証明しました。DeFiエコシステムが進化し続ける中、業界はより堅牢なセキュリティフレームワークの確立、インシデント対応の連携強化、セキュリティ慣行に関する透明性の向上を通じて、ユーザー信頼の確立と分散型金融の長期的な持続性を目指す必要があります。

よくある質問

Yearn FinanceのyETHハック攻撃の具体的な内容は？

11月30日、Yearn FinanceのyETH Vaultがハッカーに攻撃され、約1,000ETH（当時約$3百万相当）が盗まれました。攻撃者はそのETHをTornado Cashに送金しました。

このハッキングで盗まれた資金はどれくらいあり、ユーザー資金は安全ですか？

約$3百万相当のETHが盗まれました。プロトコルは堅牢な保護策と保険メカニズムを備えており、預金者の資産はこうした事案から守られています。

攻撃者が盗んだETHをTornado Cashに送金した理由は？

攻撃者は盗難資金のミキシングと匿名化のためにTornado Cashを利用しました。このミキサーはトランザクション経路を分断し、ETHの出所と送付先の追跡を極めて困難にして、プライバシーを保護し資金回収を防ぎます。

yETHとは何で、通常のETHとどう違いますか？

yETHはETHにペッグされたERC-20トークンで、1:1の価値を維持しつつクロスチェーンでの活用が可能です。ネイティブETHと異なり、yETHは複数のブロックチェーン間で自由に転送でき、DeFiプロトコルにも組み込めます。

このセキュリティインシデントがYearn FinanceおよびDeFi全体に及ぼす影響は？

この事件によりYearn Financeは直接的な資金損失とブランド毀損を被り、DeFiエコシステム全体でもプロトコルセキュリティやスマートコントラクトの脆弱性への懸念が高まり、イールドファーミングプラットフォームへのユーザー信頼にも影響しています。

ユーザーがDeFiプロトコルで資金を守るには、どんな対策が必要ですか？

安全なウォレットで資産を管理し、秘密鍵の共有を避ける、二段階認証の有効化、スマートコントラクト監査の確認、少額からの利用開始、アカウントアクティビティの定期監視、複数プロトコルへの分散などが重要です。

Yearn Financeの今回のハック対応策とユーザーへの補償方針は？

Yearn Financeは、本ハックの被害ユーザーに対する補償プランを発表しました。プロトコルはブロックチェーン分析や法執行機関と連携して盗難資金の回収にも努めています。補償の詳細は回収進捗に合わせて公表されます。