ホーム
ニュース
詳細

2億9200万ドルのKelp攻撃がDeFiインフラの脆弱性を露呈

iconCoinDesk
共有
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,393.833.36%
This is the logo of the coin.
AAVE
$94.1692.06%
AI summary icon概要

expand icon
2億9200万ドル規模のDeFi攻撃がKelpのrsETHトークンを標的にし、DeFiインフラとリアルワールド資産(RWA)に関するニュースに脆弱性を露呈させた。攻撃者はシングルシグネチャーのLayerZeroブリッジを操作して裏付けのないrsETHを発行し、それをAaveの担保として使用してETHを奪取した。AaveのTVLは60億ドル減少し、24時間以内にトークン価値は15%下落した。専門家は、ユーザーが資金を引き出すことで不良債権やバンクランの可能性が生じると警告している。

週末に発生した約2億9200万ドルの不正アクセスは、暗号資産業界に衝撃を与え、分散型金融(DeFi)インフラの脆弱性を露呈させ、貸出プロトコル全体への影響への懸念を高めています。

調査はまだ進行中ですが、初期の分析によると、攻撃の中心は収益を生むイーサリアム(ETH)のトークンであるKelpのrsETHと、ブロックチェーン間で資産を移動するためのメカニズムでした。

攻撃者は、適切な裏付けなしに大量のトークンを生成するためにそのシステムを操作し、その後、それらを担保として借入に使用して、主にAave AAVE$90.11から実際の資産を引き出しました。これは最大の分散型暗号資産貸出プラットフォームです。

この事件は、SolanaベースのプロトコルDriftが2億8500万ドルの不正アクセスを受けたわずか数週間後に発生し、約900億ドル規模の暗号資産業界に対する投資家の信頼をさらに損なった。

高レベルで見ると、この攻撃は、異なるブロックチェーン間で資産を移動可能にするLayerZeroブリッジのコンポーネントを標的にしましたと、ハードウェアウォレットメーカーであるLedgerのCTOであるCharles GuillemetはCoinDeskに述べました。

ブリッジは通常、一方のチェーン上で資産をロックし、別のチェーン上で同等のトークンを鋳造することで機能します。このプロセスは、入金を確認するための信頼できるエンティティ(オラクルまたはバリデーターと呼ばれることが多い)に依存しています。

この場合、Kelpは効果的にその検証者として機能しました。Guillemetによると、このシステムはシングル・シグナー設定に依存しており、1つのエントティのみがすべてのトランザクションを承認できました。

「攻撃者がメッセージに署名し、大量のrsETHをミントできるようになったようですが、そのアクセスがどのように得られたのかはまだ明確ではありません」と彼は述べました。

Curve Financeの創設者であるマイケル・エゴロフは、システムの設定における同じ弱点を指摘した。

あなたが単一の当事者を信頼すると、何が起こるかわかりません——その当事者が誰であっても。

その設定により、攻撃者はソースチェーン上で対応する資産がロックされていないにもかかわらず、裏付けのないトークンを効果的に生成することができました。

ミント後、トークンはすぐに展開されました。ギルメは、「攻撃者はそれらを主にAaveなどの貸出プロトコルに即座に預け、実際のETHを担保に借入しました」と説明しました。

その操作により、問題は単一の攻撃から広範な市場の課題へと移行しました。DeFi貸出プラットフォームは、解消が困難な可能性のある担保を抱え込むことになり、価値があり流動性の高い資産はすでに枯渇しています。

「Aaveは実際には売却できないrsETHと最大借入ETHを残したため、誰もETHを出金できません」とCurveのEgorovは述べました。

その結果、アベとその他の貸出プロトコルは、疑わしいコラテラルと不良債権を数億ドル分保有している可能性があると警告し、ユーザーが資金を出金しようとして急いでいることから、潜在的な「バンクラン」の状況が生じる可能性があると懸念を示した。

この出来事の後、ユーザーが資産を引き出した結果、Aaveのプロトコル上の資産は約60億ドルの減少を記録しました。プロトコルに関連するトークンは、過去24時間の取引で約15%下落しました。

バリデーターがどのように侵害されたかについては、まだ疑問が残っています。このシステムはLayerZeroの公式ノードに依存していたため、ハッキングされたのか、設定ミスだったのか、それとも誤導されたのかについて不確実性が生じています。

「ハッキングされたのでしょうか?騙されたのでしょうか?私たちはわかりません」とエゴロフは言いました。

攻撃者の身元も不明だが、ギヨメは、この攻撃の規模から、熟練した攻撃者である可能性を示唆した。

「明らかにスクリプトキッズではない」と彼は言った。

即時の損失を超えて、この攻撃は、DeFiがより相互に接続されるにつれて、ある層での失敗がシステム全体に迅速に連鎖する可能性があることを改めて示しています。

エゴロフは、資産が複数のプールにまたがってリスクを共有する非隔離型貸出モデルが、このようなイベントの影響を拡大すると主張した。

彼は、新規資産がレンディングプラットフォームに導入される際の不備にも言及し、Kelpの1-of-1検証者設定のような構成は、より早期に警告されるべきだったと述べた。

しかし、エゴロフは明るい側面もあると述べた。「暗号資産は、どの銀行も生き残れなかった厳しい環境だが、私たちはその中で活動している。」彼は言った。「私はDeFiがこの出来事から学び、以前よりも強くなると考えている。」

それでも、このような出来事はプロトコルのアップグレードや再設計につながる一方で、広範なDeFiセクターに対する投資家の信頼を徐々に損なっています。

「全体として、このようなイベントによりDeFiプロトコルへの信頼が損なわれています」とギュイレメは述べました。

「そして2026年は、ハッキングの面でまた最悪の年になる可能性が高いです」と彼は追加しました。

詳細はこちら:'DeFiは死んだ':今年最大のハッキング事件で伝染リスクが露呈し、暗号資産コミュニティが動揺

出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。 デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。