インシデント概要
2025年8月14日、大手暗号通貨取引所に所属する企業ウォレットが約30万ドル分悪用されました。この問題は、0xプロトコル内のパーミッションレスコントラクトに意図しないトークン許可が与えられたことに起因しています。誤設定された承認からわずかな時間で、MEVボットが高い権限を検知し、ウォレットから全許可額を移動させるトランザクションを実行しました。
悪用の仕組み
この侵害は、取引所の企業分散型取引ウォレットの変更時に以前のトークン承認の取り消しが行われなかったことが原因です。「deeberiroz」として知られるセキュリティ研究者が最初にこの脆弱性をソーシャルメディアで指摘し、ボットがこのような隙を狙うことを示しました。権限が有効になると、ボットはブロックの先回りでトランザクションを送信し、承認されたトークンを攻撃者のアドレスに直接転送しました。
MEVボットの役割
最大抽出価値(MEV)ボットは、メンプール内のトランザクションの並べ替え、先回り、サンドイッチングによって利益を得ることを専門としています。今回のケースでは、高額ウォレットがコントラクトを承認するのを監視するようにプログラムされていました。窓口が開くと、ボットは同じブロック内で転送を実行し、手動介入の時間を残しませんでした。
取引所の対応と顧客への影響
Coinbaseの最高セキュリティ責任者はこの悪用が企業の手数料受取ウォレットに限定され、顧客アカウントは関与していないことを確認しました。取引所は直ちに誤った承認を取り消し、内部監査を開始しました。影響を受けたトークンはすべて手数料回収プロセスの一環として取引所が所有しており、顧客資産にリスクはありませんでした。
セキュリティのベストプラクティス
専門家は契約承認と権限管理の徹底的な監査を推奨しています。重要な対策には、企業ウォレットをホットおよびコールドストレージから分離し、異常なトークン許可に対する自動アラートを実装し、重要な承認にはハードウェアモジュールを使用することが含まれます。定期的なセキュリティ訓練や第三者機関による監査も脆弱性の時間をさらに減らすことができます。
業界への影響
このインシデントは、オンチェーン運用を自動化された攻撃者から保護する課題が続いていることを強調しています。より多くの取引所やDeFiプラットフォームが承認ワークフローの見直しとフェイルセーフの導入を進めることが予想されます。MEV戦略の成熟に伴い、承認が期待される基準から逸脱した際にユーザーに通知する透明性ツールの強化が求められています。
結論
Coinbaseにとっては総準備金に比べて財務的影響は軽微でしたが、この悪用は小さな設定ミスが重大な損失につながることを示しています。より広い業界では、類似の脅威を緩和するために、権限管理フレームワークと積極的な監視への注目が高まる可能性があります。
コメント (0)