主な要点
オンチェーンセキュリティ企業PeckShieldによると、Alchemixプロトコルのユーザーが、事前に承認されていた悪意のあるコントラクトを悪用され、約100万ドル相当の利回り付きトークンを失いました。PeckShieldが最初にこの事件を特定しました。この攻撃はユーザーのyvWETHポジションを標的としたもので、分散型金融(DeFi)におけるトークン承認に伴うセキュリティリスクを改めて思い知らされる高額な教訓となりました。
「このハッキングは、ユーザーが悪意のあるコントラクト(0x143a)を事前に承認していたために可能になった」とPeckShieldのアナリストはXへの投稿で述べています。「このコントラクトには任意呼び出し実行の脆弱性が含まれており、攻撃者はこれを利用してユーザーのポジション全額を転送した。」
脆弱性はAlchemixやYearn Financeプロトコル自体にあったのではなく、ユーザーが別の悪意のあるコントラクトとやり取りした点にありました。そのコントラクトにトークンの使用を承認したことで、ユーザーはセキュリティの抜け穴を作ってしまい、攻撃者は後にそれを利用して資金を流出させました。このようなエクスプロイトは、ユーザーが様々なアプリケーションとやり取りするために広範な権限を付与しがちなDeFiにおいて、繰り返されるテーマとなっています。
この事件は、主要プロトコルのコード監査の枠を超えた、ユーザー側の重大なセキュリティ課題を浮き彫りにしています。暗号資産のセキュリティではプロトコルレベルのエクスプロイトや物理的な攻撃に焦点が当てられがちですが、最大かつ最も一貫した損失源は、フィッシングや古い承認を含むウォレットの管理不備やユーザーのミスであることが多いのです。
トークン承認はEthereumなどのチェーンにおけるDeFiの基本的な部分であり、スマートコントラクトがスワップ、ステーキング、レンディングなどの活動のためにユーザーの資産とやり取りすることを可能にします。しかし、承認が取り消されない限り、それは無期限に有効なままであり、悪意のある、あるいは侵害されたコントラクトが悪用できる永久的な「許可証」となります。dAppのフロントエンドからウォレットを切断しても、これらのオンチェーンの権限は取り消されません。
セキュリティ企業CertiKの2025年の報告書によると、悪意のある承認を含むカテゴリーであるフィッシング攻撃による損失は、約7億2,300万ドルに達しました。Alchemixの事件はこのリスクベクトルの直接的な例です。これは、イールドファーミングやトレードに集中するユーザーが見落としがちな、入念なウォレット管理の必要性を強調しています。
セキュリティのベストプラクティスでは、マルチウォレットのアプローチが推奨されています。1つはdAppとほとんどやり取りしない長期保管用、2つ目は日常的な活動用の「ホットウォレット」、そして3つ目は新規または信頼できないアプリケーション用の実験用ウォレットです。さらに、ユーザーはツールを定期的に使用して、使用しなくなったコントラクトの有効な承認を確認し、取り消すべきです。
Alchemixに関連した100万ドルの損失は、個人のセキュリティ対策がプロトコルレベルのセキュリティと同じくらい重要であることを如実に示しています。今回の事件はAlchemix自体のハッキングではなく、悪意のあるアクターに権限を与えてしまった単一のユーザーに対する標的型攻撃でした。これは、ユーザーが常に警戒を怠らない必要があることを再認識させます。取引に署名する前に、ユーザーはコントラクトアドレスを確認し、付与される権限を理解し、オンチェーンのリスクを最小限に抑えるために承認を取り消す習慣を身につけるべきです。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
