暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

LML 攻撃を受けて 95 万ドルの損失、通貨価格が1日で 99.6% 急落

MarketWhisper
セキュリティインシデントオンチェーンデータ
ETH0.68%

LMLトークン攻撃

PeckShieldAlert(PeckShieldAlert)は、ブロックチェーン上のセキュリティ監視プラットフォームであり、4月1日にLMLトークンが標的型攻撃を受け、約95万ドルの損失が発生したことを確認しました。価格は短時間で99.6%急落し、ほぼゼロになりました。攻撃者はすぐに窃取した950,000 USDTを450.6 ETHに交換し、プライバシー保護のためのミキシングプロトコルTornado Cashに預けて資金の追跡を断ち切りました。

攻撃の技術的核心:TWAP価格と現物価格の操作可能なギャップ

LML価格急落 (出典:Trading View)

今回の攻撃は、DeFiステーキングプロトコルにおける典型的な設計リスクを突いています。報酬計算のロジックが遅延したTWAPまたはスナップショット価格を使用し、実際の資金売却は即時の現物価格で行われるため、両者の価格差が操作可能な裁定取引の窓を生み出しています。

攻撃者が短時間で意図的にトークンの現物価格を引き上げることに成功すると、TWAPに基づく報酬額は高騰した現物価格に連動して計算され、その後高値で売却されることで、通常よりもはるかに多くの利益を得ることが可能です。さらに重要なのは、報酬の受け取りとトークンの売却が同一の取引シーケンス内で原子性に完結できるため、従来のリスク管理手法では裁定の閉じる前に介入しにくい点です。BlockSecは、この種のTWAP価格設定の設計欠陥はLMLだけのものではなく、多くのDeFiプロトコルで発見されていると指摘していますが、多くのプロトコルは未だ十分な対策を講じていません。

攻撃の手順の再現:ゼロアドレス経由の操作とミキシング逃走

BlockSecのオンチェーン追跡分析によると、攻撃者の操作は以下の重要なステップに分かれます。

事前にトークンを預けてポジションを構築:ターゲットのステーキングプロトコルに事前にトークンを預け、後続のclaim機能の資格を得る

ゼロアドレス経由で現物価格を引き上げる:受取人をゼロアドレスに設定した取引ルートを利用し、市場に流通する供給量を意図的に減少させ、LMLの現物価格を押し上げる

高値でclaimを呼び出し報酬を獲得:操作された高値の現物価格に基づき、TWAPまたはスナップショット計算による大量の報酬トークンを受け取る

高値の現物価格で即座に報酬を売却:現物価格が高い状態のまま、約950,000 USDTを現金化

USDTをETHに交換し、ミキシングに預け入れ:950,000 USDTをETHに換え、Tornado Cashに預けて追跡を断つ

この攻撃の全過程はブロックチェーン上で原子性に完結し、従来の「失敗の窓」と呼ばれる時間的余裕は残されていません。

Tornado Cashのミキシング経路とDeFiの安全性に対するシステム的警鐘

攻撃者が資金洗浄のためにTornado Cashを選択したことは、DeFi攻撃の典型的なパターンです。Tornado Cashはゼロ知識証明を用いて資金の追跡性を破壊し、法執行機関やセキュリティ研究者による最終的な資金の行き先追跡を困難にし、資産回収の難易度を大きく引き上げています。

今回のLML攻撃で明らかになった問題は、業界全体にとって重要な示唆を持ちます。流動性の低いトークンにおいて、TWAPやスナップショット価格を基準とした報酬付与メカニズムは、操作リスクが高いことが広く知られています。流動性が低いほど、攻撃者が現物価格を引き上げるコストは低く抑えられ、裁定取引のリターンは非常に高くなる可能性があります。DeFiプロトコルがこの種の攻撃を防ぐための基本的な対策には、報酬の受け取りとトークン売却の間に時間遅延を設けること、単一アドレスによる短時間での報酬上限を設定すること、即時の現物価格とTWAPとの差異閾値を設けることなどがあります。

よくある質問

LMLの今回の攻撃はどのようにTWAP価格設定を利用したのか?

攻撃の核心は、「報酬計算の基準」と「売却の基準」の不一致にあります。プロトコルは遅延したTWAPまたはスナップショット価格を用いて報酬を計算しますが、トークンは即時の現物価格で売却可能です。攻撃者は現物価格を人為的に高騰させ、その後すぐに報酬を受け取り売却することで、「遅い価格で計算し、操作された高値で売る」裁定取引を可能にし、1回あたり約95万ドルの損失をもたらしました。

攻撃者はなぜゼロアドレス経由でLMLの現物価格を引き上げたのか?

受取人をゼロアドレスに設定した取引は、技術的には「バーン(焼却)」操作に相当します。トークンを管理者のいないアドレスに送ることで、市場に流通している供給量が実質的に減少し、結果として現物価格が人為的に高騰します。攻撃者は通常、フラッシュローンを利用してこの操作のコストを賄い、資産を保有せずに価格操作を完結させることが可能です。この操作は単一のブロック内で完結します。

Tornado Cashに預けた後、攻撃者の資金は完全に追跡不能になるのか?

Tornado Cashは追跡の難易度を大きく高めますが、完全に追跡不能になるわけではありません。オンチェーンのセキュリティ企業は、入場時間や取引額の特徴、後続のオンチェーン行動から関連性を分析しています。また、ETHを中央取引所に送金して現金化する場合、KYC(本人確認)手続きにより攻撃者の身元が特定される可能性もあります。PeckShieldやBlockSecは、関連アドレスの動向を継続的に監視しています。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

ZachXBTが、アクティブなウォレット・ドレイナーを伴う偽の予測市場としてPolyarbを告発

予測市場セキュリティインシデント取引所リスク

オンチェーン調査者のザックXBTは、予測市場プラットフォームを名乗るサイト「Polyarb」がアクティブなウォレットドレイナーを運用しており、その投稿に対して著名なクリプト関連アカウントが返信することで注目を広げていると警告した。 要点: ザックXBTは2026年5月4日、Polyarbがアクティブなウォレットドレイナーを運用していると警告した

Coinpedia43分前

ソラナの共同創業者、AIが2026年のブレークポイントでポスト量子暗号を解読できる可能性を警告

solana newsセキュリティインシデントAI業界ニュース

ソラナの共同創設者アナトリー・ヤコベンコによると、アムステルダムで開催された2026年のソラナ・ブレークポイント・カンファレンスで講演した中で、人工知能は量子コンピュータよりもブロックチェーンのセキュリティに対する、より大きな存在的脅威をもたらすという。ヤコベンコは、AIモデルが「po」という微妙な数学的パターンを悪用できる可能性があると警告した。

GateNews5時間前

北朝鮮によるテロ攻撃の判決の保有者が 7,100 万ドルを差し押さえ:Kelp DAO の ETH(Arbitrum)「集中介入」がかえって法的な手掛かりに

地政学執行措置セキュリティインシデント

ニューヨーク南部地区連邦地裁は5月1日、差し押さえ命令を出し、分割審理の前に30,766 ETH(約7100万ドル)を処分することを禁じた。DeFi United 補償プログラムに充てるためのもの。ETH の出所は4月のKelpDAO クロスチェーンブリッジ侵害事件で、Arbitrum のセキュリティ委員会が凍結した後、DAO のガバナンスに組み込まれた。補償は Aave などの資金調達で賄われる。原告は、ハッカーが北朝鮮の Lazarus Group に関与していると主張しており、裁判所は分割審理まで命令を留保するとした。

ChainNewsAbmedia7時間前

Wasabi Protocol のユーザーは、残りの資金を安全に出金できるようになりました

プロジェクト進捗セキュリティインシデント

Wasabi Protocolによると、ユーザーは現在、プロトコルのスマートコントラクトと安全にやり取りして、残っている資金を引き出せます。チームは、セキュリティインシデントの調査を継続しており、状況が整い次第、コミュニティに向けてさらなる最新情報を共有すると述べました

GateNews10時間前

ウォレットを奪い取るコードを含む偽の予測市場としてPolyArbがフラグを立てられました

予測市場執行措置セキュリティインシデント

オンチェーンの捜査官ザック・ザック(ZachXBT)によれば、PolyArbは不正な予測市場プロダクトであり、そのWebサイトにはウォレットを奪うコードが埋め込まれています。このプロジェクトのアカウントも、確立された予測市場プラットフォームの投稿の下で物議を醸す返信を行い、アクセスを増やしてユーザーを惹きつけることに加担してきました、a

GateNews10時間前

Bisqプロトコルが攻撃され、5月4日に11 BTCが盗まれる;DAOの投票で補償計画へ

bitcoin newsプロジェクト進捗パートナーシップ・エコシステムセキュリティインシデント取引所リスク

Bisqによると、このプロトコルは5月4日に検証メカニズムの欠如により攻撃を受け、約11 BTCが主にアルトコイントレードから盗まれた。プラットフォームは被害を受けたユーザーへの補償の選択肢を協議しており、ユーザーはビットコインまたはBSQトークンの払い戻しから選べる。p

GateNews11時間前
コメント
0/400
コメントなし