Wasabi Protocol、管理者キーの脆弱性を悪用され500万ドル以上を失う
起きたこと
ブロックチェーンセキュリティ企業PeckShieldの報告によると、オンチェーン無期限先物プロトコルのWasabiが2026年4月30日にハッキング被害に遭い、攻撃者によってEthereum、Base、Berachain、Blastにわたる500万ドル以上の資産が流出しました。
攻撃者は、WasabiのPerpManager AccessManagerにおいて唯一の権限保持アドレスであるデプロイヤーウォレット(wasabideployer.ethとして識別)を介して ADMIN_ROLEを取得しました。その後、ヴォルトを悪意のある実装にアップグレードし、ユーザー残高を吸い上げました。初期の集計では約455万ドルが抽出されたとされており、現在も調査が続いています。
WasabiはX(旧Twitter)上でこの事案を認め、調査中につきプロトコルの使用を控えるようユーザーに呼びかけるとともに、SEAL 911やBlockaidを含む専門のオンチェーンセキュリティ・レスポンダーを雇用したことを発表しました。 Block Field
We're aware of an issue and are actively investigating.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
攻撃はどのように実行されたか
今回の攻撃は、UUPSアップグレード・エクスプロイトと呼ばれる手法で実行されました。デプロイヤーアカウントを乗っ取った後、攻撃者はコントラクトのアップグレードを開始し、安全なコードを悪意のあるロジックに置き換えることで、ヴォルトや流動性プールからの資金を自身のアドレスにリダイレクトしました。プロトコルにタイムロック機構が備わっていなかったため、変更は即座に反映され、開発者やユーザーが介入する余地はありませんでした。
今回の侵害に関する主な技術的詳細:
- 攻撃者はデプロイヤーのEOAで遅延なしに
grantRoleを呼び出し、自身のオーケストレーター・コントラクトを即座に管理者に昇格させました。 - 影響を受けたヴォルトのWasabiおよびSpicy LPトークンは「侵害済み」としてフラグが立てられ、償還価値はゼロに近づいています。
- Blockaidは、今回の攻撃者のアドレス、オーケストレーター・コントラクト、および戦略のバイトコードが、以前にWasabiを標的とした活動と一致していると指摘しています。
- 悪意のある操作の即時実行を阻止するためのマルチシグ認証やタイムディレイ(時間差)などのセーフガードは存在しませんでした。
2026年4月:DeFi史上最悪の月
Wasabiのエクスプロイトは単発の事件ではありません。このハッキングは、2つの大規模なエクスプロイトと20件以上の小規模な事案が発生した、DeFiにとって極めて過酷な1ヶ月を締めくくるものとなりました。Monadの元DeFi責任者はX上で、2026年4月の30日間で28件の事案が発生し、約6億3500万ドルの損失が出たと述べています。
今月の2大事件は以下の通りです:
- Drift Protocol — 4月1日、Solanaベースの無期限先物取引所が、15種類以上のトークンにわたる約2億7000万ドルの流出被害に遭いました。これは半年間にわたり準備された北朝鮮の国家関連組織による作戦であると報じられています。
- Kelp DAO — 4月18日、北朝鮮の国家支援が疑われる攻撃者がLayerZeroブリッジを悪用し、クロスチェーンメッセージを偽造して、ソース側に資産をロックすることなく116,500 rsETHをミントしました。その後、攻撃者は裏付けのないrsETHを担保としてAaveに預け入れ、実物のWETHで約2億3600万ドルを借入しました。
Kelpの事案への対応として、「DeFi United」と呼ばれるDeFiプロトコルや個人によるかつてない規模の共同支援が行われ、rsETHの裏付けを回復するために3億ドル以上が調達されました。
AIハッカー説
最近のエクスプロイトの頻度と精度の高さから、攻撃者が使用しているツールについての議論が再燃しています。開発者のVitto Rivabella氏は、北朝鮮が長年にわたって盗み出したDeFiデータを用いて独自のAIモデルを訓練したという説を公に提示しました。同氏は、このAIが自律的な攻撃者として機能し、人間がパッチを当てるよりも速いスピードでプロトコルを枯渇させているのではないかと推測しています。この仮説は未確認ではあるものの、攻撃者がプロトコルの防御チームに対して非対称な優位性を持っているという、セキュリティコミュニティ内の懸念の高まりを反映しています。
ユーザーが今すべきこと
セキュリティチームは、影響を受けた個人に対し、重要な第一歩としてプロトコルに関連するすべてのスマートコントラクトの許可(Approval)を解除(Revoke)するよう促しています。Revoke.cashなどのツールを使用することで、侵害されたコントラクトに過去に与えたアクセス権を削除できます。ユーザーは不審なリンクや非公式のリカバリプログラムに関与することを避け、検証済みの公式発表のみを監視する必要があります。
AIが現在のエクスプロイトの波を加速させているかどうかに関わらず、Wasabiの事件は一つの構造的な問題を浮き彫りにしました。それは、タイムロックやマルチシグ管理を欠いたシングルキーの管理アーキテクチャが、今日のDeFiにおいて依然として最も脆弱な要素の一つであるということです。
Coinplurk.comによって公開
コミュニティディスカッション
0 返信ディスカッションに参加するにはログインしてください
今すぐログインまだコメントはありません。最初のコメントを投稿しましょう!