攻撃者は4.6M BONEを借りることによって、2/3のバリデーターコントロールを獲得し、$2.4MのETHとSHIBを吸い上げました。
K9 Finance DAOによってブラックリストに載せられ、清算がブロックされたKNINEトークンは700Kドル相当が押収されました。
開発者はステーキングを一時停止し、バリデーターキーを確保し、Hexens、Seal 911、およびPeckShieldを調査に招きました。
金曜日に、Layer 2ネットワークとEthereumをつなぐShibariumブリッジがフラッシュローン攻撃により侵害され、240万ドルの資産が流出しました。Shiba Inuエコシステムの開発者は、この事件がバリデーターキーのセキュリティを確保している間、ステーキング、アンステーキング、および関連機能を停止せざるを得なかったと述べました。
プロジェクトのエンジニアによると、攻撃者はフラッシュローンを通じて460万BONEトークンを借り、バリデーターアクセスを一時的に制御しました。12のバリデーター署名キーのうち10を制御することにより、攻撃者は3分の2の多数を確保し、ブリッジ契約から資金をリダイレクトしました。記録によると、224.57 ETHと926億SHIBが削除され、約240万ドルの価値がありました。
トークンとバリデーター操作への影響
開発者は、借りたBONEトークンがステーキングの遅延により直ちにロックされたことを確認し、攻撃者が影響力を維持することを妨げました。BONEの価格は、取引活動が急増したために最初は上昇しましたが、攻撃のニュースが広がるとすぐに急落しました。
この事件はK9 FinanceのガバナンストークンであるKNINEも関与していました。攻撃者は約700,000ドル相当のKNINEを取得しましたが、保有資産を換金することはブロックされました。K9 Finance DAOはそのウォレットをブラックリストに載せ、そのトークンをオープンマーケットで売却できないようにしました。
緊急時の対応と調査
侵害の後、Shiba Inuの開発者は、Hexens、Seal 911、PeckShieldを含む外部セキュリティ企業を雇って、脆弱性の分析を行いました。調査者は、バリデーターアクセスがどのように操作されたか、そしてどのように保護が不正な引き出しを防ぐことができなかったかを検討しています。
システムの上級開発者であるカール・ダイリヤは、フラッシュローンの操作が非常に構造化されていると見られ、数ヶ月前に準備されていた可能性があると述べました。彼は、法執行機関がこの事件について知らされていることを確認しました。また、開発者は、資金が返還される場合、攻撃者との交渉に応じる意向があることを示し、報酬の可能性についても言及しました。
この事件は、クロスチェーンブリッジとバリデーター主導のガバナンス構造が直面しているリスクを強調しています。このケースでは、バリデーターキーの制御により、迅速な出金が実行され、防御が圧倒されました。即時の対策によりさらなる損失は制限されましたが、この侵害は攻撃者が分散型システム全体で利用し続ける脆弱性を示しています。開発者は、バリデーターアクセスを保護し、将来同様の攻撃を防ぐための追加措置が講じられていると述べました。コミュニティは、盗まれた資金が他のネットワークを通過するかどうかを監視しながら、調査を続けています。
