イーサリアムプロトコルTruebitの脆弱性悪用騒動：2,600万ドルの盗難事件を徹底解説

イーサリアムの検証・計算プロトコルTruebitは、木曜日にコントラクトの脆弱性を突かれ攻撃を受け、一夜にして2,600万ドル以上の損失を被った。この深刻なセキュリティ事件は暗号コミュニティの広範な関心を引き起こし、業界内で増加する旧コントラクト攻撃リスクを露呈した。事件が明るみに出た後、ネイティブトークンTRUは無情な売り浴びせに遭い、価格は0.16ドルから瞬時に崩壊し、ほぼゼロに近づいた。

5年前に展開されたスマートコントラクトが攻撃の突破口に

オンチェーン分析プラットフォームLookonchainの追跡データによると、盗まれた資産は8,535枚のイーサ（ETH）に上り、価値は約2,660万ドルにのぼる。独立したセキュリティ研究者Weilin Liは、深度分析を通じて、この脆弱性の悪用はTruebitが5年前に展開した旧コントラクトコードに起因すると明らかにした。

攻撃の鍵は、コントラクト内の「ミント」関数の価格設定メカニズムに深刻な欠陥があったことにある。ハッカーはこの脆弱性を巧みに突き、市場価格を大きく下回るコストでTRUトークンを大量に購入した。Weilin Liは、この攻撃は2人のハッカーによって実行され、そのうち一人は約2,600万ドルの利益を得ており、もう一人は約25万ドルの利益を得たと指摘している。

Truebit公式はすぐにXプラットフォーム上で声明を発表した。「我々は、一人または複数の悪意ある行為者によるセキュリティインシデントを発見した。現在、法執行機関と緊密に連携し、この状況に対処するためにあらゆる措置を講じている。」

「考古風」新たなハッカーのトレンド、多数のDeFiプロジェクトが連続被害

憂慮すべきは、攻撃者が新たな攻撃手法を開発している点だ。すなわち、忘れ去られたが権限は依然として有効な旧コントラクトに「土を動かす」攻撃を仕掛けている。Weilin Liはこの危険なトレンドを特に警告し、最近ハッカー界で「考古風」が吹き荒れ、忘れられた古いコントラクトの操作権を持つものを狙った攻撃が増加していると指摘している。

この種のセキュリティ事件は業界内で頻繁に発生している。昨年11月にはDeFiプロトコルBalancerがスマートコントラクトの脆弱性によりハッカーにより1億2千万ドル超が盗まれた。最近では、Bunni、Nemo Protocol、Hyperdrive、Yearn Financeなどの著名なDeFiプロジェクトも次々とコントラクト攻撃のニュースを伝えており、エコシステム全体のセキュリティリスクは依然として深刻だ。

トークン価格の急落後に反発の兆し

TRUトークンは事件発生後、市場から無情に売り浴びせられた。最新のデータによると、TRUの現在価格は0.01ドルであり、事件発生時と比べて回復しているものの、24時間以内に5.49%の上昇を記録した一方、事件前の0.16ドルからは大きく乖離しており、市場のこのプロジェクトに対する信頼は完全には回復していない。

今回の事件は再び警鐘を鳴らしている。DeFiエコシステムの拡大に伴い、スマートコントラクトのセキュリティ監査と定期的な更新・メンテナンスは各プロジェクトの最優先事項となるべきだ。投資者にとっては、プロジェクトのコントラクトの展開年や更新状況を深く理解することがリスク評価の必要不可欠な要素となっている。