ハッカーが5年前の脆弱性を悪用 Truebitが2,600万ドルの損失

イーサリアム検証プロトコルTruebitは今週ハッキング被害に遭い、資産約2,600万ドルを失った。この事件はDeFi分野における深刻なセキュリティリスクを再び浮き彫りにし、最新のハッカーの狩猟手法—忘れ去られた古いコントラクトを狙う—を浮き彫りにした。情報が伝わると、ネイティブトークンTRUは急落し、$0.16から$0.01まで急落、下落率は93%以上となり、価格は歴史的な最低水準に落ちた。

5年前に展開されたコントラクトがハッカー侵入の通路に

オンチェーン分析プラットフォームLookonchainの推定によると、今回盗まれた資産は8,535枚のイーサ（ETH）に上る。独立研究者Weilin Liは詳細な分析を行い、ハッカーの攻撃はTruebitが5年前に展開したスマートコントラクトを標的にしていることを発見した。その中でも「ミント」関数の価格設定メカニズムに深刻な欠陥があった。この長期間忘れられていた脆弱性がハッカーに扉を開き、彼らは市場価格を大きく下回るコストでTRUトークンを大量に鋳造し、その後大量売却してアービトラージを行った。

Truebit公式はすぐにX（旧Twitter）上で声明を発表：「我々は悪意のある行為者に関わるセキュリティインシデントを発見し、現在法執行機関と緊密に連携し、あらゆる可能な対策を講じている。」公式は具体的な盗難詳細を明かさなかったが、市場の反応やオンチェーンデータから推測すると、損失規模は非常に大きい。

ハッカーの分業協力、高手は数千万ドルの利益

Weilin Liはさらにハッカーチームの利益分布を明らかにした：今回の攻撃は2名のハッカーによって実行され、主なハッカーの利益は約2,600万ドル、もう一人の参加者は約25万ドルの収益を得た。このような組織的かつ分業された攻撃モデルは、ハッカー界において比較的成熟した「産業チェーン」が形成されていることを示している。

「古い脆弱性の掘り起こし」がハッカーの新たな潮流に DeFiプロジェクトが集中攻撃

さらに警戒すべきは、Weilin Liが特に警告した新たなハッカーの潮流—「考古式」脆弱性ハンティングだ。ハッカーたちは、市場から忘れられたものの高権限を保持している古いコントラクトを狙って攻撃を仕掛ける。この戦略はしばしばプロジェクト側の防御をかわすことができる。昨年11月、DeFiプロトコルBalancerはスマートコントラクトの脆弱性によりハッカーにより12,000万ドル超を奪われた。2026年に入り、Bunni、Nemo Protocol、Hyperdrive、Yearn Financeなどの著名なプロジェクトも次々とコントラクト攻撃のニュースを伝え、安全危機が一気に集中している。

これら一連の事件は、業界全体に警鐘を鳴らしている。古いコントラクトの維持と権限管理は、DeFiエコシステムの致命的な弱点となりつつある。