DeFiプロトコルNeutrlは、攻撃者がDNSハイジャックを通じてそのウェブサイトを侵害した後、3月19日にプラットフォームの運営を停止しました。この攻撃は、ユーザーを悪意のあるインターフェースにリダイレクトし、資産窃盗を可能にする権限を付与するよう欺くことを目的としており、緊急のセキュリティ警告が発令されました。
Permit2承認を狙っていました。これは、契約がユーザーのトークンを制御することを許可するもので、ウォレットを不正な送金に晒すことになります。
分散型金融(DeFi)プロトコルNeutrlは、そのフロントエンドが侵害された後、3月19日にプラットフォームの運営を停止しました。チームはX(旧Twitter)を通じて、フロントエンド攻撃の疑いがあることを発表し、ユーザーにウェブサイトとのすべてのやり取りを直ちに中止するよう助言しました。初期調査の結果、このインシデントはスマートコントラクトの悪用ではなく、ドメインネームシステム(DNS)のハイジャックであることが判明しました。攻撃者は、ソーシャルエンジニアリングを使用してプロバイダーからアプリドメインの制御権を奪取し、トラフィックをNeutrlインターフェースの悪意のあるレプリカにリダイレクトしました。
これに対応して、Neutrlは侵害されたフロントエンドとのあらゆるやり取りを防ぐための予防措置として、スマートコントラクトをオフラインにしました。チームはセキュリティ企業@0xGroomLakeと協力して侵害を調査しており、完全な事故後レポートをリリースすることを約束しています。
この攻撃の主な目的は、ユーザーを騙して悪意のあるPermit2パーミッションを承認させることでした。これらのパーミッションは、外部コントラクトがユーザーのトークンを管理することを許可するものであり、詐欺的なアドレスにこれらを付与すると、攻撃者はさらなる確認なしにユーザーのウォレットから資金を抜き取ることが可能になります。クローンされたウェブサイトは正規のものと全く同じように見えたため、ユーザーが悪意のある承認要求を検出することは困難でした。
Neutrlは、ユーザーに対し、Revoke.cashなどのサービスを利用して、以下の2つの特定の悪意のあるコントラクトアドレスに付与されたパーミッションを取り消すよう助言しました。
0x23f2741EaA0045038e9b52100CdcC890163dE53F0xa0Adf074056E41dfB892aFC69881E15073b384b9進行中のセキュリティインシデントに関する更新:現在、@0xGroomLakeと協力して調査を進めています。初期調査の結果、アプリドメインをホストしているDNSプロバイダーがソーシャルエンジニアリング攻撃を受け、攻撃者がドメインをリダイレクトできるようになったことが示唆されています。Neutrlのスマートコントラクトは安全なままです…
— Neutrl, 2026年3月19日
このインシデントは、分散型金融エコシステムにおける根強い弱点を浮き彫りにしています。プロトコルはスマートコントラクトの監査に多額の投資を行うことが多いですが、ユーザーが利用するフロントエンドは依然として攻撃者の主要な標的です。DNSなどの手段を通じてウェブサイト層を侵害することで、ハッカーは基盤となるブロックチェーンプロトコルを侵害することなく、ユーザーの行動を傍受し、資産を盗むことができます。この種の攻撃は、ユーザーがウェブサイトインターフェースに抱く信頼を悪用し、安全なバックエンドを罠に変えてしまいます。