DeFiリゾルバー「TrustedVolumes」でエクスプロイト、約9.2億円相当が流出か＝Blockaid

この記事のポイント

TrustedVolumesから約9.2億円相当が流出
DriftやKelp DAOに続き4月からの攻撃急増が継続

昨年3月のインシデントと同一攻撃者と特定

ブロックチェーンセキュリティ企業のブロックエイド（Blockaid）は7日、分散型取引所アグリゲーター1inchのマーケットメーカー兼リゾルバーとして機能するTrustedVolumesが進行中のエクスプロイト攻撃を受けていることを検知したと、公式Xアカウントで発表した。同社のエクスプロイト検知システムがリアルタイムでアラートを発し、これまでに約587万ドル（約9.2億円）相当の仮想通貨が流出したことが確認されている。

流出した資産の内訳は、WETHが1,291.16枚、USDTが206,282枚、WBTCが16.939枚、USDCが1,268,771枚となっている。攻撃対象はTrustedVolumesのリゾルバーコントラクトで、攻撃者のアドレスは0xC3EB…と特定されており、特定のエクスプロイトトランザクションも公開されている。

関連記事：今年最大級のDeFiハッキング事件と業界の動き｜仮想NISHI

ケルプDAOハッキング発生から10日間、アービトラムによる資金凍結、3億ドル超の業界横断支援、rsETH保有者への損失転嫁なしという方針が示された。DeFiが「失敗後の対応力」まで問われる段階に入ったと仮想NISHIが分析。

ブロックエイドの分析によると、今回悪用された脆弱性はTrustedVolumesが独自に管理するカスタムRFQ（リクエスト・フォー・クォート）スワッププロキシに存在しており、1inchのプロトコル本体とは別のコンポーネントに起因する。

さらに今回の攻撃者は、2025年3月に発生した1inch Fusion V1インシデントと同一のオペレーターと判明しており、継続的な標的型攻撃の可能性が指摘されている。ブロックエイドは引き続き調査を進め、詳細については順次公開するとしている。

今回の事案は、DeFiへの攻撃が急増している局面で発生した。4月だけでもドリフト（Drift）やケルプDAO（Kelp DAO）など複数のプロトコルが相次いで攻撃を受けており、月間の被害総額は6億を超えた。DeFiエコシステム全体でセキュリティへの警戒感が高まっている。

クリプトクアントがKelp DAOハッキングがDeFi市場に連鎖した様子を分析した。Aaveのステーブルコイン借入金利が急騰し、USDeの償還も加速した経緯を解説している。

CoinPostの特集記事