
WebKeyDaoへのハッキング:BlockSec Phalconの分析でDeFiエクスプロイトによる7万3000ドルの損失が判明
1/ @WebKey01 WebKeyDao was attacked, resulting in a ~$73K loss. The attacker leveraged an unprotected function to buy wkeyDao tokens at a low price and sold them on DEX for profit. https://t.co/41adgRYcOn
— BlockSec Phalcon (@Phalcon_xyz) March 15, 2025
Since the vulnerable contract can no longer be exploited, we're… pic.twitter.com/OQEWEC1Hb1
こんにちは! もしあなたが暗号資産や分散型金融(DeFi)に興味をお持ちなら、最近のWebKeyDaoへの攻撃について耳にしたことがあるかもしれません。2025年3月15日、セキュリティ企業のBlockSec Phalconが、このハッキングがどのように行われたのかについて、X(旧Twitter)で詳細なスレッドを公開しました。これは、興味深く(そして教訓的な)物語です。わかりやすく解説していきましょう。
WebKeyDaoに何が起こったのか?
Binance Smart Chain (BSC) 上のプロジェクトであるWebKeyDaoは、約7万3000ドルを持ち去った攻撃者の被害に遭いました。このエクスプロイトは、WebKeyDaoのスマートコントラクトの1つにある脆弱性、つまり保護されていない「buy(購入)」機能が原因で発生しました。この機能により、攻撃者は1,159 BUSD(Binance USD、ステーブルコイン)を使用して、非常に低い価格でwkeyDaoトークンを購入できました。その後、これらのトークンを分散型取引所(DEX)で販売し、10倍という莫大な利益を得て、13,167 BUSDを手に入れました。これは大変なことですね!
BlockSec Phalconの分析は、彼らの X thread にて共有されており、攻撃者がどのようにこれを成し遂げたのかを示しています。彼らは脆弱性を利用して230のwkeyDaoトークンを安価にミント(発行)し、すぐに売却して利益を得ました。興味深いのは、脆弱性があったコントラクトはすでに修正されており、今後はエクスプロイトできなくなっていることです。そのため、BlockSec Phalconはコミュニティと完全なストーリーを共有し、他の人々が学び、安全を保てるように支援しています。
攻撃者はどのようにしてこれを成し遂げたのか?
根本的な問題は、コントラクトアドレス0xD5110...CD851
にあるスマートコントラクトの「buy」機能にありました。この機能には、誰かが操作するのを防ぐための十分なセキュリティチェックがありませんでした。BlockSec Phalconによると、このコントラクトは1,159 BUSD(特定のストレージスロット、0x9cに格納)を使用して230のトークン(スロット0x9eに格納)をミントしました。攻撃者は、この仕組みを悪用して、トークンを安価で購入し、DEXで販売して莫大な利益を得ました。
BlockSec Phalconのスレッドには、コードスニペットやトランザクションログなど、エクスプロイトがどのように機能したかを正確に示す技術的なスクリーンショットが含まれています。たとえば、彼らはbuy
機能のコードと、そのような操作に対する保護がどのように欠けているかを強調しました。攻撃者がエクスプロイトを可能にするために販売情報を設定したトランザクションを含む、攻撃者のアクションのステップごとの内訳もあります。
なぜ被害は悪化しなかったのか?
ここで良い知らせがあります。WebKeyDaoのスマートコントラクトには、安全対策がありました。これには67トークンの販売閾値が含まれており、攻撃者が1100万ドルの流動性プール全体を枯渇させるのを防ぎました。もしその閾値がなかったら、損失ははるかに悪化していた可能性があり、最大73万7000ドルにも達していたかもしれません!これは、たとえ完璧でなくても、セーフガードを設けることがいかに重要であるかを示しています。
これはDeFiにとって何を意味するのか?
このハッキングは、DeFiの世界、特にBinance Smart Chainのようなプラットフォームにおけるリスクを改めて思い出させるものです。スマートコントラクトはDeFiプロジェクトのバックボーンのようなものですが、適切に監査されていない場合、バグや脆弱性がある可能性があります。WebKeyDaoのインシデントは、CryptoBriefingのDeFiの脆弱性に関する記事やCryptoKnowmicsのBinance Smart Chainのコントラクトリスクに関する記事で言及されているものなど、他のDeFiプロジェクトも同様の攻撃に直面しています。
暗号資産に関わる人々にとって、これは自分たちが関わっているDeFiプロジェクトのセキュリティを再確認するための警鐘となります。WebKeyDaoのようなプロジェクトのスマートコントラクトは、GitHubでオープンソースであり、監査できますが、誰もが徹底的に行っているわけではありません。BlockSec Phalconの透明性は非常に役立ちます。これは、開発者とユーザーの両方にとって無料のレッスンです。
最後に
WebKeyDaoのハッキングは残念ですが、学習の機会でもあります。BlockSec PhalconがXで公開した詳細な分析は、DeFiで物事がどれほど早く悪化するか、そしてセキュリティがなぜ重要なのかを示しています。もしあなたが詳細に興味があるなら、トランザクションリンクやコード分析など、より技術的な詳細について彼らの完全なスレッドをチェックしてください。
今のところ、投資しているプロジェクトに目を光らせて、セキュリティをチェックせずに新しいDeFiトークンに飛び込む前に、もう一度考えてみてください。暗号資産の世界では安全を保ってください!