autorenew

meme-insider.com LOGO Meme Insider

Venusプロトコルはハッキングされていない:AIが$40M事件でホエールのウォレット流出を暴露

Venusプロトコルはハッキングされていない:AIが$40M事件でホエールのウォレット流出を暴露

急速に動くDeFiの世界では、見出しが過剰に伝わってしまうことがあります。最近、BNB Chain上の人気あるレンディングプラットフォームであるVenusで4,000万ドル相当の「エクスプロイト」があったと急速に拡散しました。しかし、DeFi専門家のIgnasがXに投稿した詳細なAI解析によれば、ハッキングされたのはプロトコル自体ではなくホエールのウォレットでした。ここで事の経緯を段階的に分解して、何が本当に起きたのか見ていきましょう。

AI解析が明らかにしたこと

Ignasはトランザクションの詳細をChatGPTの高度な思考モデルに投入し、数分間の解析の後、AIは明確な結論を出しました:Venusは設計どおりに機能していた。問題は、被害者のウォレットが乗っ取られており、攻撃者が既存の承認(approvals)や署名された権限を悪用したことに起因していました。

AIの解析によるプレイ・バイ・プレイは次の通りです:

  • ​担保を解除するための債務返済​​:攻撃者はスマートコントラクトを使用して被害者のvBTC債務(約306.897 BTCB)を被害者に代わって返済しました。これにより担保が解除され、攻撃者は285.72 BTCBを自分のアドレスに直接引き出しました。これはウォレット流出でよく見られる手口です。

  • ​代理借入(Borrowing on Behalf)​​:次に攻撃者は7.136百万USDCを借り、借り手を被害者に設定しつつ資金を自分へ送金しました。借入イベントのログには被害者が借り手として記録されますが、USDCの転送は攻撃者のコントラクト(0x7fd8...で始まるアドレス)に行われています。この「代理で借りる/受取人へ送る」フローはVenusの正当な機能ですが、ここでは悪用されました。

  • vTokenの償還(Redeeming vTokens)​​:攻撃者は被害者のvUSDT、vUSDC、vWBETH、vFDUSDを償還しました。これらのvToken(Venusのラップされた資産)は被害者からVenusのコントラクトへ移動し、裏付け資産は攻撃者に支払われました。これが可能なのは、攻撃者が事前に被害者のウォレットからの権限(permissions)を持っていた場合のみです。

エクスプロイト用のコントラクト(0x7fd8...)は、攻撃の数時間前に別のアドレス(0x0455...)によって新規にデプロイされており、これはVenusのコアロジックの欠陥というよりも準備されたドレイナー(資金抜き取り用コントラクト)を示しています。

Venusのウォレット流出トランザクションに関するAI解析のスクリーンショット

損失は$40Mか$29Mか?

流れている数字には若干の食い違いがあります。Xでの初報は損失を$40Mと伝えていましたが、AIの計算では約$29Mと出ました。Ignasは追投稿でこの点を指摘し、どちらの数字が最終的に正しいかに興味を示していました。いずれにせよ、いずれも巨額であり、高資産ユーザーにとってDeFiが抱えるリスクを浮き彫りにしています。

DeFiユーザーへの重要な教訓

今回の事件は、ウォレット承認(approvals)を慎重に管理するという重要なセキュリティ習慣を強調しています。承認は誰かにあなたの金庫の鍵を渡すようなもので、コントラクトがあなたの代わりにトークンを移動できるようにします。これが侵害されると、攻撃者はあなたの秘密鍵を必要とせずに資金を抜き取ることができます。

  • ​承認を定期的に取り消す​:Revoke.cashEtherscan's Approval Checker のようなツールを使って不要な承認を見直し、取り消しましょう。特に新しいプロトコルとやり取りした後は定期的に行ってください。

  • ハードウェアウォレットを使う​:大きな資産を保有している場合は、LedgerやTrezorのようなハードウェアウォレットを検討してください。これによりトランザクションの確認に追加の層が加わります。

  • フィッシングに注意する​:多くの侵害はフィッシング攻撃から始まります。URLを二重に確認し、シードフレーズは決して共有しないでください。

Venusのチームはプロトコル自体に悪影響はなく、bad debt(焦げ付き)は発生していないと確認しています。この出来事は、DeFiプロトコルが十分にテストされている一方で、ユーザー側のセキュリティも同等に重要であることを思い出させてくれます。

DeFi解析におけるAIの役割

Ignasの実験は、AIが暗号分野でどのように進化しているかを示しています。トランザクションデータをChatGPTのようなモデルに直接与えることで、AIが即席のオンチェーン探偵として機能するのを目にしています。これが信頼できるようになれば、エクスプロイトの調査方法を変革し、リアルタイムのシナリオで手動のスマートコントラクト監査の必要性を減らす可能性があります。

詳細はX上の元スレッドを参照してください。BNB Chain上のミームトークンやDeFiに飛び込むなら、今回のような事件は安全に航行するために知識を持っていることがいかに重要かを示しています。

タグ:
#ai analysis #bnb chain #crypto approvals #defi security #venus protocol #wallet exploit #whale wallet drain

おすすめ記事