INK Finance によるホワイトリスト回避の脆弱性で14万ドルの損失

執筆者：Muriuki Lazaro、AMB Crypto

INK FinanceはPolygon上に展開されたDeFi向けの国庫管理およびワークスペース基盤インフラプロトコルであり、最近深刻な認証脆弱性の攻撃を受けました。

攻撃者はプラットフォームの国庫検証ロジックの脆弱な部分を悪用し、最終的に約14万ドルの資金を奪取しました。

今回の攻撃の鍵は、偽造されたclaimerコントラクトが国庫システム内で承認されたホワイトリストのエンティティを成功裏に偽装したことにあります。

この回避により、攻撃者は資格検査を突破し、即座に制限されることなく「承認済み」の国庫送金を引き起こすことができました。

同時に、攻撃者はRailgunからPolygonへのルーティングを経由した約2.5万ドルのBalancer V2フラッシュローンを利用し、脆弱性の悪用の実行速度を加速させました。

この資金流は、DeFiインフラの相互接続性が深まるにつれて、流動性システム間の連動が攻撃の実行効率を高めていることも浮き彫りにしています。

報道によると、攻撃者は高度な暗号層を狙ったわけではなく、ホワイトリスト権限に関する運用上の信頼仮定の問題を悪用したものであり、これにより外部からの国庫アーキテクチャにおける認証設計の脆弱性への懸念が再び強まっています。

国庫認証システムはDeFiの脆弱な部分となりつつある

今回の国庫脆弱性事件は、DeFiの攻撃対象がより広範囲に変化していることを反映しています。インフラの複雑さが増すにつれ、攻撃者は流動性プールや価格設定システムだけでなく、プロトコルの準備資金を管理する高権限の国庫認証層を狙う傾向が強まっています。

INK Financeの事例も示しており、攻撃者は低コストかつ高精度な手法で国庫認証システムを標的にしています。

この傾向は、現代の攻撃手法が権限昇格を重視し、単なる流動性操作だけにとどまらないことを示しています。

同時に、ホワイトリストやアクセス制御に関する類似の事件は、2026年のDAO国庫システムでも継続的に増加しており、DeFiインフラの拡大過程における運用検証層の弱点を繰り返し露呈しています。

しかし、このような継続的な認証の欠陥は、分散型金融の運用安全性の成熟度が、そのインフラや資本規模の成長速度に追いついていないことも示しています。

小規模攻撃もDeFiの信頼を揺るがす

国庫認証を狙った攻撃事件が増加するにつれ、市場全体のDeFiインフラに対する信頼も徐々に揺らいでいます。

INK Financeの今回の損失額は比較的小さかったものの、この事件は迅速にセキュリティダッシュボードやオンチェーン監視システムに反映されました。

この可視性の重要性は、ユーザーが繰り返される小規模なセキュリティ事件を、エコシステムの基盤インフラが依然として脆弱である兆候とみなす傾向にあることにあります。

また、SmartCredit、Sharwa、Quantなどの類似事件も、運用安全規律の脆弱性に対する外部の懸念を繰り返し強化しています。

この事件は、直接的な経済的損失が限定的であっても、小規模な攻撃が市場に不釣り合いな影響をもたらす可能性を示しています。継続的な認証失敗は、徐々にユーザーの信頼を損ない、資本展開の速度を遅らせ、全体の相互接続システムのリスク警戒を高めることにつながります。

しかし、多くのこの種の脆弱性は、回避可能な権限設定の問題に起因しており、非常に複雑な技術的失敗ではありません。

簡単に言えば、運用安全性の成熟度は、インフラの複雑さの進展に遅れをとっています。

概要

INK Financeは、攻撃者が偽造したclaimerコントラクトを通じてホワイトリスト検証を回避し、約14万ドルを失いました。

繰り返されるDeFiの小規模認証攻撃は、業界のインフラに対する信頼を徐々に削いでいます。