代幣TRU暴落99% Truebit遭ハッカー攻撃で2,600万ドルの損失

イーサリアム検証・計算プロトコルTruebitは1月8日に重大なセキュリティ危機に見舞われ、ネイティブトークンTRUは崩壊に陥った。この攻撃事件は、2,600万ドルを超える資産の損失をもたらしただけでなく、DeFiエコシステムに潜む重大なリスク——忘れられたまま権限を持ち続ける旧式のスマートコントラクト——を露呈した。事件後、TRUの価格は0.16ドルから0.01ドルに急落し、99%の下落率を記録、トークン保有者は大きな損失を被った。

5年前にデプロイされたコントラクトが「タイムボム」になる

独立したセキュリティ研究者Weilin Liの分析によると、今回の攻撃の根本原因は最近のコードの脆弱性ではなく、Truebitが5年前にデプロイしたスマートコントラクトにあった。このコントラクトに関わる「ミント」関数の価格設定メカニズムには深刻な設計上の欠陥が存在し、長期間見過ごされてきたこの脆弱性が最終的にハッカーの突破口となった。

具体的には、ハッカーはミントメカニズムの価格の脆弱性を突き、市場価格を大きく下回るコストで大量にTRUトークンを購入した。この攻撃手法は一見単純に見えるが、一瞬でトークンの価値を完全に崩壊させることができる。ブロックチェーン分析プラットフォームLookonchainのデータ推定によると、盗まれた資産は8,535枚のイーサ（ETH）に達し、その価値は約2,660万ドルにのぼる。

ハッカーの分業と緻密な連携

公式は直ちにコミュニティプラットフォームX上でこのセキュリティ事件を確認し、法執行機関と緊密に連携していると述べた。しかし、Weilin Liのさらなる調査によると、この攻撃は2人のハッカーによって共同で実行され、そのうち一人は約2,600万ドルの利益を得ており、もう一人は約25万ドルの利益を得ていた。この分業パターンは、攻撃者が組織的なものであり、ターゲットのコントラクトについて深く研究している可能性を示唆している。

DeFiエコシステムに迫る「考古学風」脅威

Weilin Liは特に警告を発し、最近のハッカーコミュニティの間で新たな攻撃トレンド——長い時を経て市場から忘れ去られたが、依然として権限を保持しているコントラクトを狙った攻撃——が台頭していることを指摘した。この「考古学的」な脆弱性ハンティングは、ハッカーの新たな趣味となっている。

過去1年間、DeFiエコシステムは類似の事件に連続して見舞われている。昨年11月にはDeFiプロトコルBalancerがスマートコントラクトの脆弱性によりハッカーにより1億2千万ドル超を奪われた。最近では、Bunni、Nemo Protocol、Hyperdrive、Yearn Financeなど複数のプロジェクトもスマートコントラクトの攻撃被害を報告している。これらの事件は、古いコードの脆弱性を探すことがハッカーの戦略の一つとなっていることを示している。

トークン保有者とDeFiユーザーへのリスク警告

Truebit事件は、DeFi参加者に対し、古いトークンやプロトコルがより安全であるとは限らず、むしろ未発見の脆弱性を隠している可能性があることを再認識させるものだ。長期的にトークンを保有する投資家は、プロジェクトのセキュリティアップデートやコントラクトのアップグレード状況に継続的に注意を払う必要がある。公式が脆弱性を発見し、緊急措置を開始した場合、トークン価格は急激に調整されることが多い——まさにTRUが0.16ドルから0.01ドルに急落したような極端なケースだ。

全体として、DeFiエコシステムにとってこの「考古学風」攻撃は無視できないシステムリスクとなっており、より多くのプロジェクトが古いコントラクトのセキュリティ監査とアップグレードを進める必要性を促している。