暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
CFD
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
米国株式
CFD
米国株CFDデリバティブ
先物
高レバレッジ・24時間365日取引
トークン化株式
実際の株式資産に裏付けられています
GUSD
米国債RWA利回り向けにGUSDをミント
投資
ローンチパッド
CandyDrop
tag
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
Gate Card
報酬

ZkLendが490万ドル盗まれ、ハッカーが強制的に返金されましたか?

MarsBitNews
STRK3.14%

執筆:Luke,マーズファイナンス

2025年が始まったばかりですが、DeFiレースではセキュリティの脆弱性が相次いで発生し、ハッカーによる攻撃、スマートコントラクトの脆弱性、価格操作などの問題が頻繁に起こり、市場全体がWeb3のセキュリティについて再び深く考えさせられています。本日、StarkNet上の借入協定zkLendが攻撃を受け、490万ドルの損失が発生しました。攻撃者はRailgunを使用してコインを混ぜようとしましたが、最終的にはプロトコルの制限により強制的に返金されました。同時に他のDeFiプロトコルも相次いで破綻し、セキュリティ検証の欠如によりFourmemeでは攻撃者が価格を操作し、流動性プールを段階的に枯渇させることができました。このような事件が相次ぎ、セキュリティの問題がDeFiエコシステムの大きな問題となっています。

この一連の事件の背後には、攻撃の原因や結果を整理するだけでなく、DeFiプロトコルのセキュリティがなぜ何度も攻撃されるのか、ユーザーはブロックチェーンの世界で自分の資産をどのように保護すべきか、ということについても深く考える必要があります。

1.zkLend攻撃の完全なレビュー

zkLendはStarkNetエコシステムの貸借プロトコルとして、zk-rollup技術を採用し、より効率的で安全な貸借サービスを提供することを約束しています。しかし、2月12日、このプロトコルは深刻な攻撃に遭い、490万ドルの資産が盗まれました。この事件の発生により、DeFiレースには依然として核心的なセキュリティリスクが存在することが露呈されました。

  1. 攻撃経路の分析

Cyvers Alertsによると、攻撃者はzkLendスマートコントラクトの脆弱性を悪用して、大量の資金を引き出すことに成功し、チェーン間ですぐにイーサリアムに送金し、その後、プライバシープロトコルRailgunを介してコインを混合して資金の流れを隠そうとしました。 しかし、Railgunプロトコルのポリシー制限により、これらの資金は最終的に元のアドレスに強制的に返還され、「ハッカーがマネーロンダリングに成功できなかった」DeFi史上まれなケースとなったことは間違いありません。

  1. zkLendの対応

インシデントの余波で、zkLendはすぐに次の対応行動を取りました。

出金停止:攻撃のさらなる拡散を防ぎ、残高の安全を保護します。

発表文: コミュニティにインシデントを知らせ、ハッカーとの交渉を試みてください。

白帽報奨金プログラムを提案:ハッカーに10%(490,000ドル)を「白帽報奨金」として残し、残りの3,300 ETHを返却する。zkLendは資金を返還した後、ハッカーに法的責任を追及しないことを約束します。

3.Railgunのポリシー制限:ハッカーが資金を洗浄するのを防ぐ方法は?

Railgunは、ゼロ知識証明(zk-SNARKs)に基づいたプライバシートランザクションプロトコルであり、EthereumおよびEVM互換チェーンに高度な匿名トランザクション機能を提供することを目的としています。これにより、ユーザーはトランザクション元と資金流れを公開せずにチェーン上でプライバシートランザクションを行うことができ、多くのユーザー(機関でさえも)がプライバシーを保護するためのツールとなっています。

しかし、Railgun は完全に規制されていないブラックボックスシステムではなく、内部のコンプライアンスメカニズムとリスクコントロール戦略があります。今回の zkLend 事件での** "強制返金" **は、このメカニズムが機能する典型的な事例です。

Railgunの核心政策制限には、次のような側面が含まれます。

ブラックリストメカニズム:Railgunは、内部で**「可疑な資金のブラックリスト」を維持し、特定の資金が攻撃、ハッキング、制裁リストアドレスなどの違法な出所から来たとしてマークされた場合、Railgunはその資金をブロックまたは追跡する能力を持っています**。

アドレスフィルタリングシステム:Railgun は、複数のブロックチェーンセキュリティ分析ツール(Cyvers、Chainalysis、SlowMist モニタリングデータなど)に依存しており、特定の取引元が既知のハッカーアドレスや違法資金に関連している場合、制限メカニズムがトリガーされ、資金の匿名流通が阻止されます。

プロトコル内のポリシー:資金の強制返還または凍結

zkLendイベントでは、攻撃者がRailgunを使用してコインを混ぜようとしましたが、システムは資金の出所が最近のStarkNetハッキングイベントに関連していることを検出したため、Railgunが取引をブロックし、資金を元のアドレスに自動的に返金しました。

この措置は、Railgun がプライバシー保護とコンプライアンスの間でよりバランスの取れた戦略を追求し始めたことを示しています。

「大口径瞬時的な混合」を防ぐ: Railgun には、資金洗浄モードの検出ルールが内部に設定されています。

短時間で大口の資金がプールに入ったり出たりするアカウントは監視されます。

Railgun に資金が入る前に既知のトランザクションミキサー(Tornado Cash など)を通過したかどうかによって、ブロックされる可能性があります。

最近の DeFi セキュリティイベントの概要:Fourmeme イベントの分析

zkLend は、最近攻撃を受けた唯一の DeFi プロトコルではありません。実際、DeFi セクター全体は2025年初めに多くの重大なセキュリティバグの事件を経験しており、その中で最も注目されたのはFourmeme事件です。

Fourmeme 事件は、クラシックな「価格操作+流動性枯渇」の事例であり、その核心問題は次のとおりです:

契約のセキュリティ検証が深刻に欠落しており、攻撃者が価格を簡単に操作できる状況になっています。

攻撃者はスマートコントラクトに正面から攻撃する必要はなく、市場操作だけで利益を得ることができます。

発射待ちのプールの流動性が徐々にハッカーによって枯渇し、最終的に攻撃者がBNBを持ち出した。

簡単に言えば、ハッカーはFourmemeプロトコルの脆弱性を発見し、非常に低コストで市場価格を操作し、この利点を利用して繰り返し取引し、流動性プールから資金を引き出し、最終的にプール内の資産をすべて枯渇させることができます。このような脆弱性の発生は、プロジェクト側がセキュリティレビューで深刻な欠陥を抱え、潜在的な攻撃ベクトルを識別できなかったためです。

zkLend および Fourmeme の事件に加えて、2025 年初には以下の他の DeFi 攻撃事件がありました:

ある有名なDeFi保険プロトコルがオラクル価格の更新の遅れにより、ハッカーがアービトラージの脆弱性を利用して120万ドルの利益を得ました。

NFT担保贷款プラットフォームがスマート契約の権限の問題により、800万ドル相当のNFT資産をハッカーに盗まれました。

あるLayer 2ネットワーク上のステーブルコインプロトコルがリエントラント攻撃に遭い、600万ドルの損失を被りました。

これらの出来事はすべて、DeFiエコシステムのセキュリティの問題が依然として深刻であり、攻撃者の戦略がますます精巧化しており、スマートコントラクトの欠陥が依然として最も主要な攻撃目標であることを示しています。

  1. 一般ユーザーはどのように資産を保護すべきですか?

ディーファイプロトコルへの頻繁なハッカー攻撃に直面する場合、一般ユーザーは次の被害者にならないようにするためにどのようにすればよいですか?以下にいくつかの重要なセキュリティアドバイスがあります。

  1. 必ずウイルス対策ソフトをインストールしてください

どなたでも、コンピューターにウイルス対策ソフトをインストールすることをお勧めします!国際的に有名なセキュリティソフトをお勧めします:

AVG無料

ビットディフェンダー

カスペルスキー

Malwarebytesの

なぜですか?なぜなら、おそらくあなたのデバイスがトロイの木馬ウイルスに感染している可能性が高く、ハッカーは直接あなたのウォレットの秘密鍵を盗むことができ、スマートコントラクトの脆弱性よりもはるかに致命的です!

  1. 高収益のDeFiプロジェクトへの慎重な参加

100%を超える年間収益率を持つすべてのDeFiプロトコルは、基本的にはリスクを伴います。多くのプロジェクトは十分なセキュリティ審査を受けていない可能性があり、『ハッカーに攻撃される予定』の対象となる可能性があります。

  1. プロジェクトのセキュリティ審査に注力する

「監査があるかどうか」だけでなく、「誰が監査を行ったか」を見るべきです。現在、信頼できる監査機関には、以下が含まれます:

CertiK(サーティク)

SlowMist(スローミスト)

ビットの軌跡

オープンツェッペリン

もしDeFiプロジェクトがこれらの機関の監査を受けていないか、監査レポートに多くの欠陥が修正されていない場合は、避けることをお勧めします。

  1. ハードウェアウォレットを使用して、オンライン署名を回避する

現在、プライベートキーを攻撃する方法が増えていますので、資産を安全に保管するためにLedger、Trezorなどのハードウェアウォレットを使用することを強くお勧めします。同時に、DeFiプロジェクトとのやり取り時には、無関係なリンクを適当にクリックしたり、オンラインで署名操作を簡単に行ったりしないでください。

  1. 小额テスト、分散ストレージ

DeFi プロトコルとのインタラクションを行う前に、以下をお勧めします:

最初に少額の資金でテストし、引き出し機能が正常であることを確認してください。

同じアドレスやプロトコルにすべての資産を置かないで、リスクを分散させてください。

結論:DeFiセキュリティには長い道のりがあります

zkLend、Fourmeme などの一連のセキュリティイベントは、DeFi が依然として非常にリスキーな領域であることを再確認させます。成熟したプロジェクトであっても脆弱性が存在する可能性があります。一般ユーザーにとっては、セキュリティが最優先であり、リスク管理を無視して高い利益を追求することは避けるべきです。

この"ハッカーとセキュリティチーム"が継続的に対抗している暗号世界では、私たちができる唯一のことは、常に警戒を怠らず、個人の安全を確保し、攻撃の鎖の次の犠牲者にならないようにすることです。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし