Truebit、ハッカーが古いDeFiプロトコルを狙い2,600万ドル相当のエクスプロイトに遭う

Truebitは、イーサリアムベースの検証プロトコルであり、ハッカーがプロトコルの準備金から2,600万ドルを盗んだことで、混乱しています。 ハッカーは、プロトコルのコードにあるバグを狙い、木曜日の午後4時（ロンドン時間）頃に、8,535エーテルトークンをだまし取らせました。その後まもなく、プロトコルは再び悪用され、サイバー犯罪者がプロトコルのTRUトークンで30万ドルに近い価値を盗みました。 影響を受けたスマートコントラクトは2021年に展開され、第三者の監査を受けたという公開記録はありません。 Truebitはその後、Xの投稿でこの悪用行為を認めています。 「私たちは法執行機関と連絡を取り、状況に対処するために利用可能なすべての手段を講じています」とプロトコルは述べました。 言ったこの出来事は、サイバー犯罪者が2025年に暗号通貨プロジェクトに対して行った襲撃で、25億ドル以上を盗んだ後のことである。DefiLlamaのデータ 表示する古いプロトコルへの攻撃 Truebitの攻撃はまた、ハッカーが古いDeFiプロトコルのスマートコントラクトを狙う傾向が増加していることを示しています。DeFiセキュリティ研究者で、ロンドン大学学院の博士課程学生であるウェイリン・リーによると、 言った Xの投稿でexploitについて議論している。 11月に、ハッカーが 盗んだ DeFi流動性プロトコルのバランサーから1億2800万ドル。攻撃されたスマートコントラクトは2021年以来イーサリアムで運用されており、複数回の監査を経ていた。 最近の数か月で攻撃を受けた古いDeFiプロトコルには、2020年にリリースされたイヤンファイナンスのv1型金庫とラリキャピタル、2021年にリリースされたリボンファイナンスも含まれる。 これらのプロトコルのスマートコントラクトは、現在では広く知られている重要なコードの脆弱性について、開発者がそれほど意識していなかった時代に書かれた。 多くの古いDeFiプロトコルは積極的なメンテナンスが行われていないが、依然として大量の暗号資産を保持しており、ハッカーにとって狙い目となっている。 一部のDeFi開発者 言う この傾向は、ハッカーが人工知能を使ってプロトコルを発見し、悪用しているためである。 数学の問題 The Truebit悪用は 結果 セキュリティ専門家の間で整数オーバーフローと呼ばれる攻撃ベクトル—つまり、数学的な問題—について。 スマートコントラクトが何かを計算する必要があるとき、コードのエラーにより、保持できる最大値を超える数値を生成してしまうことがある。これにより、値が予期しないほど小さな数値や負の数値に巻き戻され、攻撃者がセキュリティチェックを回避したり、残高を操作したり、資金を盗むことが可能になる。 整数オーバーフローの悪用は新しい現象ではない。 何年もの間、複数のDeFiプロトコルがこれに被害を受けている。この問題の広範性により、現在、新しいスマートコントラクトを開発・監査する者は、整数オーバーフローおよび類似の数学的問題を厳密にチェックしている。 それでも、ときにはこのようなバグが見逃されることがある。 7月、Suiブロックチェーン上の分散取引所であるCetusで、 犠牲者となった 整数オーバーフローの悪用につながった。このバグにより、ハッカーはプロトコルをだまして、自身が保有する資金よりも多くの資金を持っているように見せかけることができ、最終的に約2億2,000万ドル相当の暗号資産が盗まれることになった。 ティム・クレイグ氏は、DLニュースのエディンバラを拠点とするDeFi担当記者です。ヒントを送る場合は tim@dlnews.com。