Saga 遭駭 700 萬!ステーブルコインのアンカーが0.75ドルに下落、一時的に全チェーンの運用停止
Saga 遭 700 萬美元攻撃、子チェーン緊急停止。Saga Dollar 脱錨し0.75ドルに下落、TVLは55%蒸発し1,600万ドルに。攻撃者のアドレスはブラックリストに登録済み、無限発行の脆弱性が疑われる。
Saga 緊急停止:700万ドル攻撃の詳細
Layer-1ブロックチェーンプロトコルSagaは、そのSagaEVMサブチェーンにおいて700万ドルの脆弱性攻撃を受け、サービスを一時停止した。この脆弱性により、未承認の資金が移動・イーサリアムに変換された。Sagaチームは水曜日にXフォーラム上で、今回の攻撃に対応するためにイーサリアム互換チェーンのブロック高を6,593,800に一時停止したと発表した。
その後のMedium記事で、チームは調査の一環として、「一連の協調されたコントラクト展開、クロスチェーン活動、及びその後の流動性引き出しに関与している可能性がある」と述べている。彼らは「合意の失敗、検証者の侵害、署名者の鍵漏洩は発生していない。Sagaネットワーク全体の構造は依然として堅牢だ」と述べ、また、同様の攻撃を防ぐための追加のセキュリティ対策を開始したことも補足した。
この表現は、攻撃をスマートコントラクト層の脆弱性の悪用とし、根底のコンセンサスメカニズムの失敗ではないと示唆している。ブロックチェーンプロジェクトにとって、コンセンサスの失敗や検証者の侵害は最も深刻なセキュリティ事件であり、ネットワークの信頼基盤が破壊されることを意味する。Sagaは「ネットワーク全体の構造は依然として堅牢」と強調し、被害をアプリケーション層にとどめ、根底の技術への信頼を致命的に傷つけないように努めている。
Sagaによると、SagaEVMチェーン以外にも、プラットフォームのステーブルコインColtとMustangも影響を受けている。チェーンは調査と完全な事故分析レポートの公開まで停止状態を維持する予定だ。同時に、資金が送金されたアドレスを特定し、「取引所やブリッジと協力して、そのアドレスをブラックリストに登録している」と述べている。
ブロックチェーンの停止決定自体は議論の余地がある。理論上、非中央集権型のブロックチェーンは単一の実体による停止はできないはずだが、多くのLayer-1やLayer-2プロジェクトは緊急停止メカニズムを備えている。こうした中央集権的コントロールはセキュリティインシデント時に迅速な損失抑制を可能にする一方、「非中央集権」性の真偽を問う声もある。Sagaにとって、停止は二つの害のうち軽い方を選んだ決断であり:運用継続は損失拡大のリスク、停止は分散化の理想を犠牲にしつつも資産保護を優先した。
Saga 攻撃の重要データ
損失額:700万ドル
ステーブルコインの脱錨幅:1ドルから0.75ドルへ(25%下落)
TVL損失:3,700万ドルから1,600万ドルへ(蒸発55%)
停止ブロック高:6,593,800
影響資産:Saga Dollar、Colt、Mustangの三種ステーブルコイン
Saga Dollar 脱錨:0.75ドルに信頼崩壊
暗号資産データ集約サイトCoinGeckoのデータによると、同プロトコルの主要ドル連動ステーブルコインSaga Dollarは水曜日の夜10:16頃(UTC時間)にドルから切り離され、価格は0.75ドルに下落した。この25%の脱錨は、ステーブルコインにとって致命的であり、その価値の根幹は法定通貨との1:1のペッグ維持にある。
ステーブルコインの脱錨メカニズムは大きく二つに分かれる。一つは需要側の脱錨で、多くの保有者がパニック売りを行い、市場の流動性不足により1ドルの吸収が追いつかず、価格がペッグを割るケース。もう一つは供給側の脱錨で、発行者の担保資産不足や問題により、すべてのステーブルコインを1:1で償還できなくなり、市場の信頼を失うケースだ。Saga Dollarの脱錨は、攻撃による担保資産の損失(供給側の問題)と、パニック的な売り(需要側の問題)の両方の要素が絡んでいる可能性が高い。
0.75ドルの価格は、Saga Dollarの保有者が瞬間的に資産価値の25%を失ったことを意味する。支払い、借入担保、流動性マイニングにおいてこのステーブルコインを使っていたユーザーは、連鎖的な損失を被る可能性がある。借入プロトコルでは、Saga Dollarを担保にしたポジションが強制清算され、流動性プール内のSaga Dollarの価値が縮小し、インパーマネントロスが拡大、決済時の受取側も為替レートの損失を被る。
また、プラットフォームの総ロックされた価値(TVL)も減少している。DeFiLlamaの推計によると、SagaのTVLは過去24時間で3,700万ドル超から1,600万ドルにまで減少し、約2,100万ドル(55%)蒸発した。TVLの急落は、攻撃による直接的な資金損失だけでなく、ユーザーの信頼崩壊も反映している。攻撃のニュースが出た後、多くのユーザーが緊急撤退し、資産を他のプラットフォームに移動させている。
無限発行脆弱性と攻撃手法の分析
Sagaチームは、現時点で事後分析レポートを公開しておらず、第三者の理論も未確認だ。ただし、セキュリティ研究者の初期分析は重要な手掛かりを示している。脅威研究員Vladimir Sは、「攻撃者は『Saga Dollarを空から作り出す』ことができた」と述べており、その方法はIBC(インター・ブロックチェーン・コミュニケーション)メカニズムの濫用と、カスタムメッセージを送る補助コントラクトの利用にあると推測している。
「カスタムメッセージやペイロードを作成することで、そのコントラクトはプリコンパイルされた橋の検証を回避し、抵当資産なしで無限に$D トークンを鋳造できた」と彼は付け加えた。この攻撃手法は非常に隠密で危険だ。IBCは異なるブロックチェーン間の情報や資産の伝達を可能にするクロスチェーン通信規格だが、攻撃者は巧妙に構築したメッセージを使い、検証メカニズムを欺き、抵当資産を預けたと誤認させながら、実際には空からステーブルコインを鋳造した可能性がある。
この無限発行の脆弱性はDeFiの歴史上、珍しいものではない。2022年のMango Markets攻撃や2021年のCream Finance攻撃も、類似の仕組みを利用して資産を空から作り出したり、抵当資産の価値を誇張したりした例だ。こうした攻撃の共通点は、技術的ハードルが高く、事前に発見しにくく、被害額も大きい点にある。
一方、ネット名Specterの調査員は、「これは『秘密鍵の漏洩』の結果である可能性が高い」と推測しつつも、「情報は少ない」とも述べている。秘密鍵の漏洩は、別の全く異なる攻撃ベクトルであり、攻撃者が重要なウォレットやスマートコントラクトの制御権を獲得し、資金を直接移動させたり悪意のある操作を行ったりすることを意味する。もし秘密鍵の漏洩が原因なら、内部のセキュリティ管理の失敗とも言える。
現時点では、いずれの理論もSaga公式からの確認は得られていない。無限発行の脆弱性と秘密鍵漏洩は、攻撃経路は異なるが、700万ドルの損失とステーブルコインの脱錨を説明できる。Sagaは、完全な事故分析レポートの公開を約束しており、真相解明を待つ必要がある。DeFiユーザーにとって、今回の事件は、スマートコントラクトのリスクの現実性を再認識させるものであり、監査済みのプロトコルでも致命的な脆弱性が存在し得ることを示している。
Sagaの信頼回復とステーブルコインの再ペッグ
Sagaチームは、資金が送金されたアドレスを特定し、「取引所やブリッジと協力して、そのアドレスをブラックリストに登録している」と述べている。この事後対応は、失われた資金の回収は難しいが、攻撃者の資金の容易な換金を防ぐ狙いがある。主要取引所やクロスチェーンブリッジが攻撃者のアドレスをブラックリストに登録すれば、盗まれた資金は他の資産や法定通貨に変換しにくくなる。
しかし、Sagaエコシステムにとっては、ユーザーの信頼とステーブルコインのペッグをどう回復させるかが最大の課題だ。Saga Dollarは0.75ドルに下落したままだが、攻撃が阻止されたとしても、すぐに1ドルに戻すのは容易ではない。追加の担保資産の投入、市場の割引ステーブルコインの買い戻し、または兌付保証の提供などの積極策が必要となる。
TVLが3,700万ドルから1,600万ドルに大きく減少したことは、ユーザーの「足で投票」した証左だ。最終的に事故レポートを公開し、脆弱性を修復したとしても、離れたユーザーを再び呼び戻すのは非常に困難だ。DeFi市場は競争が激しく、一度の重大なセキュリティ事故は、プロジェクトに永続的なダメージをもたらすことが多い。