DeFiプロジェクトに相次ぐハッキング、今週だけで600万ドル超損失

暗号資産（暗号資産）業界では、大規模なハッキング被害が注目を集める一方で、小規模ながらも頻発する攻撃が後を絶たない。今年に入ってからも、Protosのハッキング追跡データによると、77件の被害が確認され、損失総額は11億ドルを超えている。特に4月には33件の被害で6億ドル以上の損失が発生したが、そのうち95%はDrift ProtocolとrsETHブリッジの2件の大規模ハッキングによるものだった。

今週のハッキング被害：6件で600万ドル超

5月に入ってからは被害額こそ減少したものの、今週だけで6件のプロジェクトがハッキングされ、600万ドル超の損失が発生した。以下はその詳細だ。

5月11日（月）：2件のハッキング

• Ink Finance（Polygonネットワーク）
  Polygonネットワーク上のInk Financeが、Workspace Treasury Proxyコントラクトの脆弱性を突かれ、14万ドル相当の損失を被った。セキュリティ専門会社SlowMistの分析によると、原因はPayrollDistribution機能におけるアクセス制御の不備だった。
• Huma Finance（Polygonネットワーク）
  同日、Huma FinanceもPolygon上で10万ドル相当の損失を被った。同社は、影響を受けたのは「廃止されたv1コントラクト」であり、最新のv2（Solanaベース）では同様の問題はないと発表した。

5月12日（火）：4件のハッキング

• TAC（TON向けEVM dAppsブロックチェーン）
  TACは、TON向けEVM dApps向けブロックチェーン「TACブリッジ」がハッキング被害に遭い、一時停止を発表。第三者機関の推計によると、300万ドル相当のUSDT、BLUMなどのトークンが流出したとされる。
• Transit Finance
  セキュリティ監査会社PeckShieldは、Transit Financeが5月12日にハッキングされ、190万ドル相当のDAIが奪われたと指摘。奪われた資金は以下のアドレスに保管されているという。
  奪取されたDAIアドレス： 0x8a634DfA2609358849D7D65FFA270C8A57a8abA5
• Transit Financeの発表
  Transit Financeは、被害はTRON上の「廃止された2022年以降のコントラクト」の脆弱性によるもので、ユーザーは何ら対応の必要はなく、影響を受けたユーザーには補償が行われると説明。同社は2022年10月にも2000万ドル超のハッキング被害に遭ったが、大半の資金は後に返還された。Decurityによると、今回の被害は2022年と同じ脆弱性によるものだった。
• AurellionとBoostHook
  5月12日には、DeFiプロジェクトのAurellionとBoostHookもハッキングされ、それぞれ45万5000ドルと20万ドル相当の損失を被ったと報告されている。

5月13日（水）：1件のハッキング（現時点で）

• FOX Colony（Arbitrumネットワーク）
  記事執筆時点でもう1件のハッキングが確認された。BlockaidはArbitrum上のFOX Colonyから13万ドル相当の資産が流出し、さらに5万ドルがコピーキャット攻撃で奪われたと指摘。同社は、同様の脆弱性を持つコントラクトが他にも存在する可能性を警告した。

業界の動向と今後の対策

今回のハッキングラッシュを受け、暗号資産セキュリティの専門家らは、コントラクトの脆弱性検査や監査の強化、ユーザーへの啓発活動の重要性を訴えている。また、Code4renaがバグ報奨金プログラムの終了を発表し、今後はImmuneFiが引き継ぐことが明らかになった。これは、業界全体でセキュリティ体制の見直しが進められていることを示す動きだ。

「小規模なハッキングが頻発する背景には、新興プロジェクトのセキュリティ体制の不備が多い。業界全体でセキュリティ基準の向上と、迅速な対応体制の構築が急務だ」
—— 暗号資産セキュリティ専門家