Thetanutsの旧型ボールトで210万ドル流出被害

攻撃者が廃止済のThetanuts Financeのボールトから約210万ドルを流出させるDeFi（分散型金融）ハッキングが発生した。ホワイトハットの防御者が約200万ドル相当のオプショントークンを回収した。

今回の侵害は、同プロトコルが数年前に移行を完了していた旧ボールトが標的となった。Thetanutsは、このボールトは現行プロダクトやシステムに一切関係がないと説明している。

ThetanutsボールトにおけるDeFi流出の内幕

ブロックチェーンセキュリティ企業がSNS「X」（旧Twitter）上で本件を報告した。SlowMistは本件の原因がコントラクトのミント関数における整数除算の欠陥であると特定した。

ボールト資金の流出後、整数除算による丸め込みの影響で預入れの計算式が0となり、攻撃者が無料でトークンをミントできた。この不具合により無制限にトークンが生成可能となった。

PeckShieldは、攻撃者がUSDC約10万5000ドル分を約60イーサリアム（ETH）と交換したことを明らかにした。ウォレットには今なお約3万4000ドル分のオプショントークンが残存している。

最新ニュースはXで速報中

Thetanutsも今回の流出について公開声明を発表した。

この種の攻撃は、長らく放置されたコードやレガシー（旧型）コントラクトが標的となるパターンと一致する。古いコントラクトは、開発チームの運用終了後もチェーン上で稼働し続けることが多い。

BeInCryptoは、廃止済のAztec Connectから約210万ドルが流出した事例も報じている。別件では、Raydium（RAY）の旧型流動性プールが約130万ドル分流出した。

専門家や記者が解説するインサイトはYouTube公式チャンネルを登録