分散型金融(DeFi)プロトコルであるThetanuts Financeにおいて、数年前に非推奨となった古いボルト(保管庫)を狙ったエクスプロイト(脆弱性攻撃)が発生し、約210万ドルが流出しました。一方で、ホワイトハット(善意のハッカー)の防衛により、約200万ドルに相当するオプション・トークンが回収されています。本件は、開発チームが運用を停止した後もオンチェーンに残り続けるレガシーコントラクトのリスクを改めて浮き彫りにする出来事として、Web3業界で注目されています。
旧ボルトを狙った不正流出の概要
今回の攻撃は、Thetanuts Financeがすでに数年前に移行を完了し、現在は非推奨となっている古いボルトを対象に行われました。プロジェクトチームは、このボルトが現在アクティブに提供されている製品やシステムとは一切関係がないことを明らかにしています。
流出が確認された後、ブロックチェーンセキュリティ企業などが調査を開始しました。その結果、約210万ドルの流出が発生したものの、ホワイトハットによる迅速な対応により、約200万ドル相当のオプション・トークンが回収されたと報告されています。
エクスプロイトの技術的背景と攻撃者の動向
セキュリティ企業のSlowMistの分析によると、今回の攻撃の根本原因はコントラクト内のミント(新規発行)関数における整数除算の欠陥にあるとされています。ボルトから資金が引き出された後、整数除算時の端数処理(四捨五入)により預け入れの計算式が0と評価される状態になり、攻撃者が無料でトークンをミントすることが可能になりました。この脆弱性により、最終的に制限のないトークンの新規発行が行われたと分析されています。
また、別のセキュリティ企業であるPeckShieldの報告によると、攻撃者は10万5,000USDCを約60ETH(イーサリアム)に交換しており、攻撃者のウォレットには依然として約3万4,000ドル相当のオプション・トークンが残されているとされています。Thetanuts Financeは、詳細な調査が完了した後に事後報告書(ポストモーテム)を公表するとしています。
放置されるレガシーコントラクトのリスク
今回の事件は、開発チームがメンテナンスを終了した古いスマートコントラクト(レガシーコード)が、その後もオンチェーン上に残り続けることでセキュリティ上の脅威となる典型的な事例とされています。
Web3業界では、同様のレガシーコードを狙ったエクスプロイトが過去にも発生しています。一例として、3年前に非推奨となったAztec Connectから約210万ドルが流出、またRaydiumのレガシー流動性プールから約130万ドルが流出する事件などが報告されています。現在アクティブではないシステムであっても、オンチェーンに存在する限り攻撃対象になり得るという点は、DeFiプロジェクトの運営において重要な課題であると見られます。
ポイント
- Thetanuts Financeの非推奨となった古いボルトから約210万ドルが流出しました。
- ホワイトハットの防衛により、約200万ドル相当のオプション・トークンが回収されています。
- 攻撃の原因はミント関数における整数除算の処理欠陥であり、トークンの無制限な無料発行が可能になっていました。
- 今回の被害は現在アクティブな製品や契約には影響しておらず、移行済みのレガシーコードのみが対象でした。
- 運用終了後もオンチェーンに残り続ける古いスマートコントラクトの管理体制やセキュリティリスクが改めて浮き彫りとなっています。