$10M消滅：ThorchainのエクスプロイトがDeFi全体にセキュリティ懸念を引き起こす

ブロックチェーン追跡企業Arkham Intelligenceは、不審なウォレット群を「THORChain Exploiter」アドレスとしてラベル付けした。そのうちBitcoin関連のウォレット1つには約36.85 BTCが保有されており、その価値はおよそ300万ドルに相当する。また別のEthereumウォレットには約216 ETHが保有されている。これらの資金はオンチェーン上で可視状態のまま放置されており、セキュリティー研究者がすでに公開で警告フラグを立てた2つのアドレスに紐づいている。

最初に発見したのは誰か

誰よりも早くこの攻撃を察知したのは、オンチェーン調査員のZachXBTだ。彼はTHORChainのルーターインフラに関連する不審な動きを報告し、攻撃者がUSDT、USDC、ラップドBitcoinを含む約720万ドル相当の資産を複数のブロックチェーンをまたいで移動させ、最終的にETHに換金した経緯を説明した。

当初740万ドル超と見積もられていた損失額は、その後上方修正された。ZachXBTによれば、盗まれた総額は現在1,000万ドルを超える可能性があるという。

THORChainは、中央集権型取引所に依存することなく、異なるブロックチェーン間で暗号資産をスワップできるクロスチェーン取引プロトコルだ。その設計上、インフラが複数のネットワークに同時に接触することになるが、今回はそれが脆弱性となった。この攻撃はBitcoin、Ethereum、BNB Chain、Baseを同時に標的にした。

セキュリティー企業PeckShieldも独自にこの侵害を確認した。同社の推計によれば、攻撃者は約36.75 BTC（約300万ドル相当）に加え、Ethereum、BNB Chain、Baseエコシステムからさらに約700万ドルを奪い去ったとしている。

市場が反応、チームは沈黙

THORChainのネイティブトークンであるRUNEは、侵害のニュースが伝わった後の数時間で約14%下落し、トレーダーがエクスポージャーを削減しようと動く中、0.50ドル付近まで滑り落ちた。価格の下落は急速だったが、公式の対応はそうではなかった。

報道時点において、THORChainはエクスプロイトの規模や対応措置に関する公式声明を発表していなかった。

この沈黙は市場の不安をさらに高めている。このプロトコルはかつてセキュリティーインシデントを、財務準備金や回収メカニズムを活用することで乗り越えてきたが、チームからの明確な説明がなければ、今回も同様の道が可能かどうかを判断するのは難しい。

クロスチェーンインフラは、分散型金融において大規模な損失が繰り返し発生する場所となっている。異なるブロックチェーンを接続するクロスチェーンブリッジやルーティングシステムは複雑なコードを必要とし、複雑なコードは問題が生じる機会を増やす。今回のTHORChainへの攻撃はまさにそのパターンに当てはまる。

盗まれた資産は現時点でも警告フラグが立てられたウォレットに留まっている。それがいつまで続くかは、また別の問題だ。

アイキャッチ画像はUnsplash、チャートはTradingViewより