2025年、敵対的な関係者がデジタル資産プラットフォームから総額約22億ドルを流出させた。そのトップには、ドバイ拠点のBybitが2月21日に史上最大となる14億ドルの侵害を受け、攻撃者はSafeベースのマルチシグウォレットの脆弱性を突いて約401,000 ETHの不正送金を許可した。捜査機関は署名鍵の流出と内部ウォレット運用者へのフィッシングの可能性を根本原因として指摘し、取引所は出金を停止し、内部調査を開始し、法執行機関と連携して盗まれた資金を追跡する一方で、ユーザーの残高を保護・保証すると約束した。
CetusはSui上の集中流動性を提供する分散型取引所で、5月に2億2300万ドルの不正流出で2位となった。攻撃者は流動性プールへ偽トークンを混入し、自動マーケットメーカーのロジックを用いて価格を操作し、プロトコルチームが脆弱性を修正する前に繰り返し価値を引き出し、ホワイトハットの行動を通じて一部の損失を回収した。Balancer V2は11月に1億2800万ドルの不正流出を記録し、組み合わせ可能なステーブルプールの丸め誤差バグにより引き起こされた。繰り返される預入・引出ループが会計上の不整合を利用し、問題が特定・是正されるまで続いた。
中央集権型取引所全体では、BitgetがVOXEL市場で内部マーケットメイキングボットをフロントランされ、薄い流動性を悪用して低リスクの利得を得た後、財務を1億ドル失った。Phemexは1月に8,500万ドルのホットウォレット侵害を報告し、出金凍結と鍵のローテーションを促した。イランのNobitexは6月にホットウォレットから8,000万ドルが失われたと報告し、インドのCoinDCXは7月に4,420万ドルのサーバーサイド侵害を公表し、後に内部関係者による認証情報の不正使用と関連づけられた。分散型先物取引プラットフォームGMXはArbitrum上のv1 GLPプールのリエントランシー型脆弱性により4,200万ドルの不正を受け、契約修正が適用されるまで取引を停止し、ミント機能を無効化した。
その他の注目すべき事例として、安定コインに特化したネオバンクInfiniでの管理者権限不正利用による4,950万ドルの被害と、BtcTurkのホットウォレットへのハッキングによる4,800万ドルの被害が挙げられ、保管とプロトコルロジックの両方が依然として頻繁な攻撃ベクトルであることを示している。
これらの流出は、堅牢なマルチシグ鍵管理、厳格なプロトコル監査、層状のセキュリティ対策を講じて、ユーザー資産を保護し、進化するブロックチェーンエコシステムにおける信頼を維持する必要があることを示している。
コメント (0)