フラッシュローン攻撃

チェーン上のアナリスト Ai 姨（@ai_9684xtpa）の監視によると、Venus フラッシュローン攻撃者は50分前に1,743 ETH（約378万ドル）を0x7a7で始まるアドレスに転送しました。

Venus Protocolは、THE市場イベントに関する声明を発表し、このイベントはフラッシュローン攻撃ではなく、攻撃者がプロトコルの古いコードにある供給上限の実行バグを利用した結果であると述べています。チームは、攻撃者が約9ヶ月間にわたりTHEトークンを蓄積し、Venus上での支配的な供給地位を徐々に確立していたと報告しています。公告では、攻撃者がTHEトークンをプロトコル契約に直接転送することで通常の預金プロセスを回避し、1450万枚のTHEの供給上限を突破し、オンチェーンの流動性が低い特徴を利用してDEX価格を操作したことが指摘されています。外部価格がTWAPオラクルによって徐々に反映された後、攻撃者は膨張した担保価値を利用して資産（CAKE、BNBなど）を循環借入し、さらに多くのTHEを購入して価格を押し上げ、vTHE市場にTHEを継続的に転入して担保価値を高めました。この循環により、価格は約0.27ドルから約0.53ドルに押し上げられ、最終的にポジションが清算された後、プロトコルに不良債権が残りました。Venusは現在、THE市場を一時停止し、その担保因子を0に引き下げ、出金を停止しました。同時に、予防措置として、BCH、LTC、AAVE、POL、FIL、TWT、UNIおよびlisUSDなどの8つの市場の担保因子も0に引き下げられました。チームとセキュリティパートナーは引き続き調査を行っており、今後完全な事後分析報告を発表する予定です。

市場の情報によると、BNB Chainの貸出プロトコルであるVenus Protocolがフラッシュローン攻撃に遭った疑いがあり、関連トークンTHEが大規模な清算を受けています。KOLの土澳大师兄によれば、攻撃者のウォレットには現在約360万ドルの資産があり、約20枚のBTC、150万枚のCAKE、約200枚のBNBを獲得しています。同時に、THEの清算はまだ続いており、現在約4200万枚のTHEが清算待ちで、価値は約1400万ドルです。

据市场消息，攻击者通过 Synnax 合约在 SEI 链上发起闪电贷，借出 196 万枚 WSEI（约 24 万美元）并未归还。此次攻击由三区块前一笔误操作触发：地址 0x9748...a714 错误将资金转入合约，意外为攻击提供了资金支持。攻击路径涉及 TX1 与 TX2 交易，显示链上误操作在 DeFi 攻击中仍可能构成关键风险点。

市場の情報によると、BSCチェーン上の未知のスマートコントラクトMSCSTがフラッシュローン攻撃を受け、約13万ドルの損失が見込まれています。この脆弱性は、MSCSTコントラクトのreleaseReward()関数にアクセス制御（ACL）が欠如していることに起因し、攻撃者がPancakeSwap流動性プール（0x12da）内のGPCトークンの価格を操作できるようになっています。

ChainCatcher のメッセージによると、The Block の報告で、Layer 2 ネットワークとイーサリアムを接続する Shibarium クロスチェーンブリッジがハッキングされ、240 万ドルの損失が発生しました。開発者は、バリデーターキーを回転させて保護するために、ステーキング、アンステーキング、および関連プロセスを一時停止しました。攻撃者は、460 万の BONE トークン（Shibarium のガバナンストークン）をフラッシュローンで借り入れ、ネットワークのセキュリティを保護するための 12 のバリデーター署名キーのうち 10 を取得したようで、これにより三分の二の多数派を獲得しました。攻撃者はその特権的地位を利用して、Shibarium ブリッジコントラクトから約 224.57 ETH と 926 億 SHIB を盗み、これらの資金を自分のアドレスに移しました。現在の価格で計算すると、これらの資金は約 240 万ドルの価値があります。この攻撃に対処するために、Shiba Inu の開発者はネットワーク上のステーキングとアンステーキング機能を一時停止し、借り入れた BONE トークンを実質的に凍結しました（これらのトークンはアンステーキングの遅延の影響を受けています）し、攻撃者の多数のコントロールを失わせました。攻撃者はまた、約 70 万ドルの価値がある大量の K9（KNINE）トークンを取得しました。攻撃者が KNINE を売却しようとしたとき、K9 Finance DAO が介入し、攻撃者のアドレスをブラックリストに登録し、これらのトークンの売却を不可能にしました。

ChainCatcher のメッセージ、CertiK Alert の報告によると、フラッシュローン攻撃事件が検出されました。攻撃者は未検証のコントラクト 0x2d70d62deb1cb9918ff6be7bb5d173e8cd4ad854 の未保護の depositBNB() 関数を利用して、226 BNB を ADACash に交換し、メザニン取引で利益を得ました。この攻撃は約 10.8 万ドルの金額が関与しています。CertiK Alert は、0x2d アドレスに関連する資金が 2021 年末から 2022 年初頭の earnhubBSC のラグプル事件に関連している疑いがあると述べています。

ChainCatcher のメッセージによると、CertiK の監視により、PulsePot.io がフラッシュローン攻撃を受け、攻撃者は swapProfitFees() 関数（これは契約自体のトークンを処理する公共関数）の swap ロジックを利用してアービトラージの機会を創出し、21500 ドルを獲得しました。

ChainCatcher のメッセージによると、Cyvers Alerts の監視により、Moonwell の Optimism ネットワーク上の USDC 借貸契約がフラッシュローン攻撃を受けました。攻撃者は悪意のある契約アドレスを mToken として利用し、Moonhackers からの未承認トークンの承認を取得することで資金を盗みました。攻撃者はイーサリアムネットワーク上の Tornado Cash を通じて資金を調達し、盗まれた USDC は DAI に交換され、現在攻撃者のウォレットに保管されています。

ChainCatcher のメッセージによると、CertiK Alert の監視により、Moonhacker の契約がフラッシュローン攻撃を受け、現在の損失は約 32 万ドルです。この脆弱性は、Optimism 上の Moonwell 貸出プールの周辺にあります。攻撃者は攻撃契約アドレスを「mToken」として入力し、Moonhackers の追加トークンの承認を得てそれを使い果たしました。

ChainCatcher のメッセージによると、CertiK Alert の監視で、BSC 上の Slurpycoin がフラッシュローン攻撃を受け、攻撃者はリバースメカニズムを利用してトークン価格を操作し、サンドイッチアービトラージから約 3000 ドルの利益を得ました。

ChainCatcher のメッセージによると、CoinGecko の市場情報では、Base エコシステムの Meme コイン NORMIE がフラッシュローン攻撃に遭い、価格が一時的に 87.6% 下落したと報告されています。研究者 @onchainfudder は、攻撃者が契約内の残り 0.63% のトークン供給量を利用し、税金を閉じた後に繰り返し売買を行い、税金が 1% に達した際に契約が自動的に 1% を超えるトークンを転送するトリガーを引いたと分析しています。攻撃全体は一度の取引で完了し、大量のトークンが売却されました。その後、攻撃者は同じブロック内で 0 の価格で大量に購入し、巨額の利益を得ました。注目すべきは、プロジェクト側も税金転送からかなりの利益を得ており、トークンを買い戻すための十分な資金があることです。現在、NORMIE チームはそのデプロイされたウォレットに 500 ETH 以上があり、この問題を解決するために使用すると述べています。チームは重要なパートナーと積極的に連絡を取り、解決策を模索しており、ユーザーに対してさらなる確認が得られるまで NORMIE トークンを購入しないよう呼びかけています。NORMIE チームは、プロジェクトを再起動またはフォークする必要があるかどうかをまだ決定しておらず、できるだけ早くさらなる更新を提供する予定です。

ChainCatcher のメッセージによると、EigenPhi のデータが示すところでは、ある MEV ボットがフラッシュローン攻撃を通じて 4.16 ドルを費やし、157.5 万ドルの利益を上げました。報告によれば、このボットは 7300 WETH と 264 万枚の USDC を借り入れ、PancakeSwap V3 上で BH トークンの価格に影響を与えてアービトラージを実現しました。

ChainCatcher のメッセージによると、Beosin Alert の監視により、DeFi プロトコル Balancer が複数回のフラッシュローン攻撃を受け、総損失額は 87 万ドルに達しました。ユーザーは公式の指示に従って、脆弱性の影響を受けたプールから LP を撤回することをお勧めします。ChainCatcher 以前の報道によると、Balancer はソーシャルプラットフォームで、以前に開示された脆弱性に関連する脆弱性悪用事件が発生したと発表しましたが、Balancer は脆弱性の影響を受けたプールを一時停止することができません。リスクを低減するために、ユーザーは自ら LP を引き出す必要があります。

ChainCatcher のメッセージによると、Beosin Alert の監視により、Gearbox Protocol がイーサリアムネットワークでフラッシュローン攻撃を受け、約 40 万ドルの損失を被った。

ChainCatcher のメッセージによると、CertiK の監視により、SVT トークンがフラッシュローン攻撃を受け、SVT 取引契約の経済モデルの脆弱性が悪用されたことが検出されました。攻撃者は繰り返し売買操作を通じて約 40 万ドルの利益を得ました。

ChainCatcher のメッセージによると、CoinDesk が報じたところでは、ブロックチェーンセキュリティ会社 Quantstamp が新サービス「経済利用分析」を発表し、フラッシュローン攻撃に対処するためにトロント大学の研究者と協力して開発したとしています。同社は、この新サービスが自動化ツールを通じて、プロトコルが攻撃される前に攻撃者がよく使用する攻撃パスを検出できると述べています。

ChainCatcher のメッセージによると、0xScope Protocol の監視により、DeFi プロトコル Earning.Farm がフラッシュローン攻撃を受け、約 283 枚のイーサリアム、価値 52.7 万ドルの損失を被った。