最近、DeFi分野でかなり懸念されるパターンに気づきました - かつてエコシステムの柱と考えられていたレガシープラットフォームが体系的に標的にされているのです。このDeFiハッキングのニュースサイクルは、数ヶ月前にRibbon Finance、Rari Capital、Yearnが同時に攻撃を受けたことで一気に盛り上がり、正直なところ、攻撃は止まっていないようです。

最近もまた新たな波が見られました。Verification layerの一つであるTruebitは、契約内の整数オーバーフローバグを悪用され、今年最初の大規模ハックに遭いました。攻撃者は大量のTRUトークンを発行し、それを換金して、約8,535 ETH - これは$26 百万相当 - を持ち去ったのです。驚くべきことに、そのコードは契約が開始された約5年前から脆弱でした。その後、TRUの価格はゼロに急落しました。

さらに悪いことに、模倣者の効果も出ました。脆弱性が公開されると、オンチェーンのボットが攻撃を次々と模倣し始めました。あるセキュリティ研究者は、ファジングボットがこれをほぼ丸ごと食いつくしていると指摘しています。

その後、Futureswapも数週間の間に二度攻撃を受けました。最初は12月にガバナンス攻撃があり、誰かがフラッシュローンで借りたトークンを使って悪意のある提案を提出し、約55万ドルを不正に引き出しました。最近では、別の脆弱性を突いた攻撃で、未検証のコントラクトからさらに40万ドルが引き出されました。これらを合計すると、Futureswapはその期間中に約$1 百万を失ったことになります。

この問題の根底には、2020年から2022年のDeFiブーム時に作られた多くのプロジェクトが事実上放置または忘れ去られていることがあります。コードは積極的にメンテナンスされたり、再監査されたりしていません。攻撃者が古いコントラクトをスキャンして脆弱性を探しているのではないかという憶測もあります。Yearnで働いていたことのあるセキュリティ研究者は、公に警告しており、このパターンはチームが何もしなければ繰り返され続けると述べています。つまり、これらのレガシーコントラクトを廃止するか、少なくとも再監査を行い、適切なセーフガードを実装すべきだということです。

要点は、もしあなたがこれらの古いDeFiプラットフォームにポジションを持ち続けているなら、見直す価値があるということです。ハッキングのニュースが絶えないのは、インフラが適切に管理されていないからです。チームは迅速に行動し、ユーザーもリスクについて現実的な認識を持つ必要があります。