オンチェーンの分散型取引所(DEX)アグリゲーターであるSwapNetはこのほど、約1680万ドル相当の暗号資産が流出する大規模なスマートコントラクト攻撃を受けた。
この事件は、分散型金融(DeFi)におけるトークン承認やサードパーティのルーティングコントラクトに関連する、継続的なセキュリティリスクを浮き彫りにした。
SponsoredオンチェーンDEX集約のSwapNet、約1680万ドル流出
PeckShieldは、攻撃者が0xチームが開発したメタDEXアグリゲーター「Matcha Meta」経由でアクセス可能なSwapNet関連の活動を狙ったと報告した。
Baseネットワーク上で、攻撃者は約1050万USDCを約3655ETHと交換した後、資金をイーサリアムにブリッジした。この手法は、追跡や資産回収を困難にするための一般的な手口である。
Matcha Metaは、今回の被害は自社の基盤インフラに起因するものではないと説明した。影響を受けたのは、0xのOne-Time Approvalシステム(継続的なトークン権限を制限するセキュリティ機能)をオプトアウトしたユーザーだという。
このオプションを無効にしたユーザーは、SwapNetのルーターを含むアグリゲーターのコントラクトに直接承認を与えており、これが攻撃の入り口となった。
「One-Time Approvalsをオフにしたユーザー向けに、Matcha Meta上でSwapNetのインシデントが発生したことを認識している」とMatcha Metaは声明で述べた。
プラットフォームはSwapNetチームと連携しており、調査が続く中、対象コントラクトは一時的に停止されていると明らかにした。
Sponsored SponsoredMatcha Metaは、0xのOne-Time Approvalフレームワーク以外のアグリゲーターへの承認をすぐに取り消すよう、利用者に呼びかけた。
プラットフォームは、SwapNetのルーターコントラクト(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)への承認が最も緊急の取り消し対象であると強調した。承認を放置した場合、被害が収束した後もウォレットが危険にさらされる可能性がある。
DeFiの安全性の課題 利便性と安全性のジレンマ
今回の事件は、DeFiで長年議論されてきた利便性とセキュリティのトレードオフを象徴している。One-Time Approvalは、都度承認が必要となり攻撃リスクが減るが、頻繁に取引するユーザーには手間となる。
Sponsored一方、無制限の承認は迅速だが、スマートコントラクトが資金に恒常的にアクセスできるようになる。この仕組みはコントラクトが破られた場合に特に危険となる。
SwapNetは現時点で技術的な詳細報告や、被害者への補償の有無について発表していない。責任や資産回収の見通しには不透明感が残る。
即時の説明不足により、DeFi業界での承認実務やアグリゲーター連携への監視は一段と強まる可能性が高い。
イーサリアム再び不正流出 非公開・未検証コントラクトのリスク浮き彫り
今回の攻撃は、スマートコントラクトへの攻撃や暗号資産市場でのセキュリティインシデントが継続的に発生している流れの中で起きている。
Sponsored Sponsored同日、セキュリティ監査人のPashovがイーサリアム・メインネット上で約37WBTC(総額310万ドル超)の流出を伴う別の攻撃を報告した。
この被害は、41日前にデプロイされた非公開の未検証コントラクトに関連していた。コントラクトは人が判読できないバイトコードしか公開しておらず、一般による審査が不可能だった。
これら一連の事件は、DeFiにおいて攻撃者にとって好都合な土壌がなおも多く残されていることを示している。主なものは以下の通り。
- 未検証コード
- 恒常的な承認設定
- 複雑なルーティング層
度重なる監査やセキュリティ改善にもかかわらず、DeFiは構造的な脆弱性との戦いを続けている。ユーザーと開発者の双方に、利便性とリスク管理のバランスが引き続き求められている。
