DeFiプロトコルのStake DAOにおいて、Arbitrum上のデプロイヤー秘密鍵が侵害されるセキュリティインシデントが発生しました。攻撃者は鍵管理の不備を利用し、5.4兆枚に及ぶvsdCRVトークンを不正に新規発行(ミント)したとされています。この事件は、スマートコントラクトの監査が完了していても、秘密鍵の管理体制が不十分であればプロトコルの安全を担保できないという、DeFi業界における重要な課題を改めて示しています。
インシデントの概要と不正ミントの手法
2026年5月27日、DeFi(分散型金融)プロトコルであるStake DAOのArbitrumネットワーク用デプロイヤー(コントラクト配備用)の秘密鍵が侵害されたことが明らかになりました。攻撃者はこの侵害された鍵を利用して、5.4兆枚ものvsdCRVを不正にミントしました。vsdCRVは、Stake DAOのシステム内でガバナンス投票力を高めるために機能するラップドトークン(元のトークンを包み込んで別のネットワーク等で使いやすくしたもの)とされています。
その後、攻撃者はミントしたトークンを分散型取引所(DEX)においてイーサリアム(ETH)へとスワップ(交換)し、流動性プールから資金を抜き取る行為に及びました。ただし、対象となる取引ペアの流動性が非常に低かったため、実際の被害額は約91,000ドル(約1,400万円相当)に留まったとされています。
「監査済み」の盲点と鍵管理の重要性
今回のインシデントは、スマートコントラクト自体のバグや脆弱性を突いたものではなく、コントラクトを制御する「秘密鍵」そのものが流出したこと(キーコントロールの失敗)が原因です。
DeFiプロジェクトにおいて、スマートコントラクトのセキュリティ監査(Audit)はコードの安全性を確認するために不可欠なプロセスとされています。しかし、監査が完了したコードであっても、そのコントラクトを操作・管理するための秘密鍵が適切に保護されていなければ、システム全体の安全性は容易に崩壊します。
特に、コントラクトのデプロイヤーキーを単一のエンティティが管理している場合、その鍵が流出すると、今回のようにトークンの無限ミントや設定の変更といった致命的な操作を許してしまうリスクがあります。
Web3ビジネスへの影響と今後の教訓
この出来事は、今後のDeFiプロジェクトの運営や、投資家・ユーザーがプロジェクトの信頼性を評価する上で、大きな教訓となります。
プロジェクト運営側にとっては、スマートコントラクトのコード監査だけでなく、秘密鍵の管理体制(マルチシグと呼ばれる複数署名による管理の導入や、厳格なアクセス制御など)を含む「運用セキュリティ」の重要性が改めて浮き彫りになりました。
また、ビジネスパーソンやユーザーにとっては、「監査済み(Audited)」というステータスが必ずしも絶対的な安全を意味しないことを理解し、プロジェクトの鍵管理ガバナンスやセキュリティインフラについても検証する必要があることを示唆しています。
ポイント
- 秘密鍵の侵害による大量ミント:Stake DAOのArbitrumデプロイヤーキーが侵害され、5.4兆枚のvsdCRVが不正に発行された点で注目されます。
- 流動性の制約による被害の抑制:攻撃者はトークンをETHにスワップしようと試みましたが、DEXの流動性が低かったため、実際の資金流出額が限定的であった点が特徴的です。
- コード監査の限界:スマートコントラクトの監査が完了していても、秘密鍵の管理に不備があればプロトコルが破綻し得ることを実証した点で重要です。
- 運用セキュリティの必要性:コードの安全性だけでなく、秘密鍵の保管やマルチシグの導入など、運用段階におけるガバナンス体制の重要性が再認識された点で注目されます。