本日、ブロックチェーンセキュリティ企業により、Token of Power($TOP)に対するガバナンス攻撃が報告されました。攻撃者はガバナンスの制御権を奪取し、大量のトークンを新規発行した上で、流動性プールから資金を引き出しました。この攻撃による被害額は約158万ドルに上り、DeFi(分散型金融)における投票システムの脆弱性を改めて浮き彫りにしています。
攻撃の手口と被害の全容
セキュリティ企業の報告によると、今回の攻撃はToken of Power($TOP)のスマートコントラクトおよびガバナンスシステムを標的に行われました。攻撃者は、Tornado Cash(暗号資産のミキシングサービス)を経由して資金を調達したアドレスを使用し、攻撃を実行したとされています。
まず、攻撃者はToken of Powerの時価総額が低く、トークンの供給量が16,384ユニットと限定的であった点に注目しました。この状況を利用し、安価に50%を超える投票権を獲得したとされています。
その後、攻撃者はAragon DAOの仕組みを通じて悪意あるガバナンス提案を可決させ、100億もの$TOPトークンを新規に発行(ミント)しました。この新規発行されたトークンは、Balancer V1に設定されていたTOP/WETHの流動性プールでWETHへと交換され、プール内の流動性が引き出される結果となりました。奪われた資金は再びTornado Cashへと送られ、資金の追跡を困難にするためのミキシング処理が行われたと報告されています。
技術的な背景とガバナンスの脆弱性
今回の事件は、DeFiプロジェクトにおけるガバナンス投票システムの設計がいかに重要であるかを示す事例となりました。Token of Powerのような時価総額の低いトークンでは、市場での買い占めや流動性の低さから、攻撃者が比較的容易に過半数の投票権を確保できてしまうリスクが存在します。
特に、投票権の分散が不十分な場合や、提案の可決に必要な定足数(クォーラム)および承認のしきい値が低く設定されている場合、悪意ある提案が容易に通過する可能性があります。さらに、ガバナンス提案によってトークンの新規発行権限(ミント権限)を直接操作できる設計になっていたことが、被害を決定的なものにしました。
業界への影響と求められる対策
セキュリティ企業のBlockSec Phalconは、今回の事態を受けて警鐘を鳴らしています。同社は、LidoやAragonのようなガバナンスフレームワークを採用している他のプロジェクトに対し、速やかにセキュリティ対策を見直すよう推奨しています。
具体的には、ガバナンスにおける投票権の分布状況、可決に必要な定足数や承認しきい値の設定、そしてトークンの新規発行権限に関する管理体制の再評価が求められます。時価総額の低いプロジェクトであっても、強固なガバナンス保護策を導入しなければ、同様の迅速な買収(ハッキング)リスクに直面する可能性があると指摘されています。
ポイント
- Token of Power($TOP)においてガバナンス攻撃が発生し、約158万ドルの被害が報告されました。
- 攻撃者はトークンの時価総額の低さを利用して50%以上の投票権を安価に獲得し、悪意ある提案を可決させました。
- 提案の可決により100億のトークンが新規発行され、Balancer V1の流動性プールから資金が引き出されました。
- セキュリティ企業は、同様のガバナンスフレームワークを使用するプロジェクトに対し、投票ルールやミント権限の速やかな見直しを推奨しています。