ZachXBTが明らかにしたところによると、BSCプロジェクト「GANA Payment」が$3,100,000の不正流出被害を受けました。

GANA Paymentエクスプロイトの概要

ブロックチェーンセキュリティ研究者のZachXBT氏は、BNB Smart Chain（BSC）上で展開される暗号資産プロジェクト「GANA Payment」に関する重大なセキュリティ侵害を公表しました。このエクスプロイトにより損失は310万ドル超に達し、ブロックチェーンセキュリティ領域における憂慮すべき新たな事件となりました。

本攻撃は、暗号資産分野における悪意ある攻撃者による高度な手法を示しています。盗難後、攻撃者はTornado Cashというプライバシープロトコル（BSCおよびEthereumネットワークで稼働）を利用し、盗まれた資金の多くを洗浄しました。約100万ドル相当の資産はEthereumブロックチェーン上で休眠しており、攻撃者による今後の移動が警戒されています。

ZachXBT氏がTelegramチャンネルで共有した詳細によると、攻撃者は盗難資産をアドレス0x2e8****5c38に集約。その後、BSCネットワーク上で1,140BNB（約104万ドル相当）をTornado Cashに入金しました。これは、ハッカーが盗難資金の追跡を困難にする際に用いる典型的なマネーロンダリング手法です。

攻撃の巧妙さは、さらに資金をEthereumネットワークにブリッジしたことにも表れています。このクロスチェーン操作により、攻撃者はさらに346.8ETH（105万ドル相当）をTornado Cashのプライバシーミキサー経由で移動させました。ただし、ブロックチェーン分析によれば、346ETHが現在アドレス0x7a503****b3ccaで未移動のままとなっており、資金移動のタイミングを遅らせて追跡回避を図っている可能性が示唆されています。

この事件は、ブロックチェーンプロジェクトが強固なセキュリティ体制を維持するための継続的な課題を浮き彫りにしています。Tornado Cashのようなプライバシープロトコルの活用は、攻撃者が本来合法なプライバシーツールを不正目的で悪用し、資金回収や法執行の調査を一層困難にしている現状を示しています。

技術的分析：コントラクト所有権の操作が明らかに

ブロックチェーンセキュリティ企業のHashDitは、不審なオンチェーン活動を検知後、迅速に本件の分析を行いました。調査により、GANAコントラクトの所有権構造が不正に操作されたことが根本的な脆弱性であると特定しました。

エクスプロイトの核心は、GANAのスマートコントラクト基盤に対する悪意ある所有権パラメータの改ざんでした。攻撃者はこれら重要な所有権機能を不正に掌握し、プロトコルのステーキング機構に対する管理者権限を獲得。これにより、報酬分配率を操作してステーキングシステムの信頼性を根本から損ないました。

攻撃の技術的な実行には複数の高度なステップが含まれていました。まず、攻撃者は所有権の脆弱性を突いて主要コントラクト機能を掌握。権限取得後はアンステーク機能を繰り返し呼び出し、通常設計を大幅に上回るGANAトークンを受領しました。この報酬計算メカニズムの操作によって、攻撃者は正規ユーザーよりも遥かに多くのトークンを発行もしくは引き出すことが可能となりました。

こうして得た余分なトークンを活用し、攻撃者は分散型取引所で組織的なダンピング戦略を実行。盗難GANAトークンを市場で大量売却し、BNBやETHなど流動性の高い暗号資産へ転換しました。この変換は、資金洗浄フェーズのために重要で、主要暗号資産の持つ高い流動性と移動性が求められました。

最終段階では、変換した資産をTornado Cashのプライバシープロトコル経由で送金。ミキシングサービスが送信元と送信先アドレスのオンチェーンリンクを断ち、捜査機関による資金追跡を大幅に困難にします。

HashDitは緊急セキュリティ警告を発出し、GANAトークンに関するすべての取引活動を直ちに停止するようユーザーに勧告。開発チームによる公式な案内と必要なセキュリティパッチが適用されるまで、コントラクトとの取引継続は追加リスクにつながる可能性があると強調しました。

このエクスプロイトはBSCのセキュリティインシデントの一例ですが、ネットワーク全体のセキュリティ指標は改善傾向にあります。BNB Chainとセキュリティ企業Hackenの共同分析によれば、エコシステム全体の損失総額は2023年の1億6,100万ドルから2024年には4,700万ドルへと70%減少しました。こうした前向きな傾向やエコシステム全体の強化策にも関わらず、GANAエクスプロイトのような個別の攻撃は依然としてネットワーク防御力を試しています。

BSC上で過去に発生したセキュリティ事件も、進化する脅威環境の理解に役立ちます。2023年9月にはVenus Protocolユーザーが悪意ある取引の承認により1,350万ドルを奪われるフィッシング攻撃が発生しました。この事件ではVenus Protocolのコアスマートコントラクト自体は安全であり、損失はユーザーレベルの社会工学的手法によるものでした。

また、ミームコインプラットフォームFour.Memeも、市場の変動期に18万3,000ドルのセキュリティ侵害を受けました。攻撃はサンドイッチ攻撃手法を用いていたとされ、約125BNBもの損失が発生し、プラットフォームのTestトークンの取引混乱中に起きたものです。

復旧計画の発表と調査開始

GANA開発チームは、インタラクションコントラクト基盤に対する外部攻撃を公式に認める声明を速やかに発表しました。同声明では、不正な第三者がコントラクトの脆弱性を突いてユーザー資産へアクセスし、流出させたことが確認されています。

チームは対応策として、即座の行動計画を明示。ブロックチェーンフォレンジクスやスマートコントラクトセキュリティに特化した独立系第三者セキュリティ企業と提携し、緊急調査に着手しました。調査範囲には、攻撃ベクトルや侵入経路の詳細分析、脆弱性の特定、ユーザーやプロトコル基盤への影響範囲の徹底評価が含まれます。

復旧戦略は、包括的なシステムリブート計画の発動、全ユーザー資産アドレスと関連権限レベルの完全マッピングを掲げています。この精密な監査によって、システム再開前に残存する脆弱性の排除を徹底します。

GANAチームは被害ユーザーに対し、セキュリティインシデントによるご迷惑および損失について正式に謝罪。復旧プロセス全体で透明性ある情報発信を約束し、復旧計画、補償スキーム、実施スケジュールを公式チャネルで順次公開する方針を示しました。

今回のエクスプロイトは、暗号資産業界全体でセキュリティインシデントが比較的少ない期間に発生した点も注目されます。ブロックチェーンセキュリティ企業PeckShieldのデータによれば、最近の期間では月間被害額が過去最低の1,818万ドル（15件）となり、前月の1億2,706万ドルから85.7%の大幅減少となっています。

しかし、セキュリティ専門家は、こうした好調な統計にもかかわらず、攻撃者はプロトコル防御の強化と同等、もしくはそれ以上のスピードで手法を進化させていると警告しています。GANAエクスプロイトで示された高度な手口は、攻撃者と防御側の間で続く技術競争を浮き彫りにしています。

GANAの被害は、さらに大規模なBalancer Protocolへの攻撃が発生した直後に起こりました。直近の事件でBalancerは、複数のブロックチェーンネットワーク上で1億2,800万ドル超の損失を被りました。攻撃者はBalancer V2 Composable Stable Poolsの認可チェック不備やコールバック処理の脆弱性を利用し、高度なスマートコントラクト操作を展開。数分で膨大な資産が流出し、その後Tornado Cashを使った資金洗浄も、GANAと同様の手法で行われました。

一方、リキッドステーキングプロトコルStakeWiseは緊急コントラクトコールで1,930万ドル相当のosETHを回収し、Balancerの純損失は約9,800万ドルまで減少しましたが、市場への影響は甚大でした。BalancerのTVL（Total Value Locked）は1日で4億4,200万ドルから2億1,452万ドルに急落し、セキュリティ侵害がDeFiプロトコルの信頼性に与える深刻な影響が示されました。

これらの事例は、分散型金融エコシステムで活動するブロックチェーンプロジェクトにとって、セキュリティ監査、継続的な監視体制、迅速なインシデント対応の重要性を改めて浮き彫りにしています。

よくある質問

GANA Paymentプロジェクトで発生した310万ドル規模のエクスプロイトはどのように実行されましたか？

このエクスプロイトは、BSC上のGANA Paymentスマートコントラクトの脆弱性を突き、攻撃者がリエントランシー攻撃や不正なトークン転送を通じて資金を流出させ、310万ドルの損失をもたらしました。

このBSCプロジェクトのセキュリティ脆弱性はユーザー資産にどのような影響を及ぼしましたか？

310万ドル規模のエクスプロイトにより、GANA Paymentのユーザー資産が直接侵害されました。被害ユーザーは即時に資金を失い、攻撃者は流動性プールやユーザーバランスから資金を奪いました。ウォレットのセキュリティ再点検やブロックチェーン分析による資金回収モニタリングが直ちに実施されました。

DeFiプロジェクトのスマートコントラクトセキュリティリスクをどのように識別し評価すべきですか？

信頼できる監査会社による監査レポートの確認、GitHub上でのコード分析、バグバウンティプログラムの有無の確認、開発者の資格や実績の検証、コントラクトのデプロイ履歴の調査、流動性の深さの評価、コミュニティからのフィードバック監視などが有効です。

GANA Paymentプロジェクトチームはこのセキュリティインシデントにどのように対応しましたか？

GANA Paymentプロジェクトチームは即座にインシデント対応を開始し、影響を受けたスマートコントラクトを一時停止。セキュリティ監査者を招いて310万ドル規模のエクスプロイトを調査しました。チームはユーザーへ透明性のある情報提供を行い、復旧措置や今後のセキュリティ改善に取り組みました。

投資家は同様のブロックチェーンプロジェクトの脆弱性リスクからどのように身を守るべきですか？

投資家は、信頼できる監査会社によるスマートコントラクト監査を実施し、複数プロジェクトへの分散投資、定期的なセキュリティアップデートの確認、チームの資格や実績の検証、ハードウェアウォレットの利用、透明性の高い運営とバグバウンティプログラムがあるプロジェクトへの参加を推奨します。

BSCエコシステムでスマートコントラクト脆弱性によるセキュリティ事件を経験したプロジェクトは？

BSCでは、PancakeSwap（フラッシュローン攻撃）、Binance Bridge（クロスチェーンエクスプロイト）、SafeMoon（ラグプル懸念）など、スマートコントラクト脆弱性やエクスプロイトによる大規模な資金損失を経験したプロジェクトが複数存在します。