DeFiハックを繰り返しますか？それとも新しいバグですか？

Aave と Maker (現 Sky) という 2 つの OG プロトコルの創設者が「DeFi ルネッサンスの瞬間」に浸りながら Starcraft について語り合う一方で、このセクターのあまり確立されていないプロジェクトの一部は間違った理由で歴史に名を残すことになりました。

Two decentralized finance (DeFi) protocols were hacked on Friday for a combined total of over $5 million, while compromised wallets saw a further $5 million drained on Wednesday.

金曜日には2つの分散型金融（DeFi）プロトコルがハッキングされ、総額500万ドル以上が被害に遭い、水曜日にはウォレットの侵害によりさらに500万ドルが流出した。

While the founders of two OG protocols, Aave and Maker (now Sky), enjoyed a game of Starcraft and reveled in a “DeFi renaissance moment,” some of the sector’s less well-established projects were going down in history for the wrong reasons.

AaveとMaker（現在はSky）という2つのOGプロトコルの創設者がStarcraftのゲームを楽しみ、「DeFiルネッサンスの瞬間」を満喫している一方で、このセクターのあまり確立されていないプロジェクトのいくつかは間違った理由で歴史に刻まれつつあった。

Repeat DeFi hack or a new bug?

DeFi ハックを繰り返しますか、それとも新たなバグですか?

First up was Onyx Protocol, whose $3.8 million loss was initially thought to be a repeat of the well-known bug that drained $2.1 million from the project toward the back end of last year.

最初は Onyx Protocol で、その 380 万ドルの損失は当初、昨年末にかけてプロジェクトから 210 万ドルを流出させたよく知られたバグの再発だと考えられていました。

Hi @OnyxDAO, you may want to take a look pic.twitter.com/fcU6fHP4jr

こんにちは @OnyxDAO、ぜひご覧ください pic.twitter.com/fcU6fHP4jr

Read more: Compound DAO asleep at the wheel as $25M governance ‘attack’ passes

続きを読む: 2,500万ドルのガバナンス「攻撃」が通過する中、化合物DAOは運転中に眠っている

Onyx is a fork of Compound Finance, which contains an infamous vulnerability in which freshly-launched, empty lending markets are briefly left open to a price manipulation attack, if not handled correctly.

Onyx は Compound Finance のフォークであり、正しく処理されない場合、開始されたばかりの空の融資市場が一時的に価格操作攻撃にさらされるという悪名高い脆弱性が含まれています。

Given the popularity of Compound’s v2 codebase with fast-forking DeFi devs, the bug is exploited with alarming regularity across the sector, and was initially identified as having been the cause of Onyx’s latest loss.

Compoundのv2コードベースは高速フォークDeFi開発者の間で人気があることを考えると、このバグはセクター全体にわたって驚くべき規則性で悪用されており、当初はOnyxの最近の損失の原因であると特定されていた。

However, as the team pointed out in a ‘post-mortem’ thread on X (formerly Twitter), this time the vulnerability also lay in the platform’s ‘NFT Liquidation contract.’ The attacker was able to drain the vUSD stablecoin, which was then sold off, causing it to depeg.

ただし、チームがX（旧Twitter）の「事後」スレッドで指摘したように、今回の脆弱性はプラットフォームの「NFT清算契約」にもありました。攻撃者は vUSD ステーブルコインを流出させることができ、その後売却されてデペグ化を引き起こしました。

Something’s not adding up

何かが足りない

Next came ‘bitcoin restaking’ protocol Bedrock, which appeared to be overly bullish on ETH, costing it around $2 million.

次に登場したのは「ビットコイン再ステーキング」プロトコルのBedrockで、ETHに対して過度に強気だったようで、約200万ドルの費用がかかった。

uniBTC by @Bedrock_DeFi was exploited today. The vulnerability allowed for you to mint uniBTC with eth! This function was likely leftover from the uniETH implementation 😅 @spreekaway pic.twitter.com/Xj69wQg2GX

@Bedrock_DeFi による uniBTC が今日悪用されました。この脆弱性により、eth で uniBTC を鋳造できるようになりました。この関数はおそらく uniETH 実装の残り物です 😅 @spreekaway pic.twitter.com/Xj69wQg2GX

Read more: ‘Cryptographic performance art’ drains contract one block after launch 

続きを読む: 「暗号パフォーマンス アート」はリリース後 1 ブロックで契約を枯渇させる

The faulty code allowed users to mint Bedrock’s uniBTC token at a 1:1 ratio with staked ETH tokens, not taking into account the price difference between the two assets (valued at the time at approximately $65,000 vs $2,650, respectively).

この欠陥のあるコードにより、ユーザーは 2 つの資産の価格差 (当時の価値はそれぞれ約 65,000 ドル対 2,650 ドル) を考慮せずに、Bedrock の uniBTC トークンとステーキングされた ETH トークンを 1:1 の比率で鋳造することができました。

The uniBTC tokens were then sold off for an alternative wrapped bitcoin token, for a return of almost 25x.

その後、uniBTC トークンは、代替のラップされたビットコイン トークンとして売却され、ほぼ 25 倍のリターンが得られました。

Crypto security auditor Dedaub claims to have identified the vulnerability in advance, stating that such a simple bug could be discovered and exploited automatically by ‘fuzzing bots.’

暗号セキュリティ監査人のデドーブ氏は、この脆弱性を事前に特定していたと主張し、このような単純なバグは「ファジングボット」によって自動的に発見され悪用される可能性があると述べた。

Despite warning the Bedrock team two hours before the attack, there was no response due time zone differences. However, by raising the issue separately with Pendle, a platform with $30 million of exposure to uniBTC, further losses were successfully averted.

攻撃の2時間前にBedrockチームに警告したにもかかわらず、タイムゾーンの違いにより反応はなかった。しかし、uniBTC への 3,000 万ドルのエクスポージャーを持つプラットフォームである Pendle とは別にこの問題を提起することで、さらなる損失は回避されることに成功しました。

The Bedrock team responded to the incident, reassuring users that all uniBTC collateral remains intact. It estimated the losses at “approximately $2 million (mostly in DEX LPs),” adding that a “comprehensive reimbursement plan is being finalized.”

Bedrock チームはこのインシデントに対応し、すべての uniBTC 担保がそのまま残っていることをユーザーに安心させました。損失額は「約200万ドル（主にDEX LP）」と見積もっており、「包括的な償還計画は最終決定中」であると付け加えた。

Compromised keys?

キーが侵害されましたか?

On Wednesday, real-world-asset-focused Truflation warned of “some abnormal activity,” which it attributed to a malware attack.

水曜日、現実世界の資産に焦点を当てたTruflationは、マルウェア攻撃によるものとして「何らかの異常な活動」について警告した。

On September 25th, 2024, the Truflation team detected some abnormal activity. An attacker launched an attack using malware. We are currently monitoring the situation and are taking measures to protect funds while we are investigating and working with law enforcement. The…

2024 年 9 月 25 日、Truflation チームは異常なアクティビティを検出しました。攻撃者がマルウェアを使用して攻撃を開始しました。私たちは現在状況を監視しており、捜査と法執行機関との協力をしながら資金を保護する措置を講じています。 …

Read more: Chelsea FC sponsor BingX tried to hide $40M hack behind ‘wallet maintenance’

続きを読む: チェルシー FC のスポンサー BingX が「ウォレットのメンテナンス」の背後に 4,000 万ドルのハッキングを隠蔽しようとした

Blockchain investigator ZachXBT traced total losses of over $5 million from addresses identified as the project’s “treasury multisig and personal wallets,” providing a list of addresses via his Investigations Telegram channel.

ブロックチェーン調査者のZachXBTは、プロジェクトの「財務マルチシグおよび個人ウォレット」として特定されたアドレスからの総額500万ドル以上の損失を追跡し、調査テレグラムチャンネルを通じてアドレスのリストを提供した。

While the initial disclosure was scant on details, it does mention a reward to any whitehats able to aid the investigation. This was followed up with an on-chain message to the hacker, offering a 10% ‘bounty’ for the return of the funds.

当初の開示では詳細はほとんど示されていなかったが、調査に協力したホワイトハットへの報酬については言及されている。これに続いて、ハッカーへのオンチェーン メッセージが送信され、資金の返還に対して 10% の「報奨金」が提供されました。

Assuming funds aren’t returned before 8am (UTC) on Saturday, the bounty will be opened up to the public in return for information leading to a conviction.

土曜日の午前8時（協定世界時）までに資金が返還されなかった場合、有罪判決につながる情報と引き換えに報奨金は一般に公開されることになる。

Got a tip? Send us an email or ProtonMail. For more informed news, follow us on X, Instagram, Bluesky, and Google News, or subscribe to our YouTube channel.

ヒントはありますか？電子メールまたは ProtonMail をお送りください。さらに詳しいニュースについては、X、Instagram、Bluesky、Google ニュースでフォローするか、YouTube チャンネルに登録してください。