ゲームおよびメタバースプロジェクトの支援で知られるweb3インキュベーターのSeedifyは、9月23日に同社のSFUNDトークンブリッジが攻撃を受けたことを確認しました。攻撃者は不正なトークンをミント(発行)し、複数のチェーン間で移動させることで、1.2 millionドル以上の資金を盗み出しました。コミュニティの信頼を揺るがしたこのハッキングは、過去にもweb3インフラを標的にしてきた北朝鮮の国家支援グループによるものと関連付けられています。
Seedify Suffers $1.2 Million Breach
ゲームをお得に手に入れよう。
最大80%OFFの割引セール実施中
攻撃者がアクセス権を得た経緯
今回の侵害は、盗まれた開発者キーがSeedifyのOFTブリッジコントラクトの制御に使用されたことで発生しました。このコントラクトは以前にセキュリティ監査を通過していましたが、攻撃者は侵害されたキーに紐付く権限を悪用することで、通常のチェックを回避しました。これにより、チェーン間で資金を実際に移動させることなく、Avalanche上で大量の新規SFUNDトークンをミントすることが可能となりました。
トークンは即座にEthereum、Arbitrum、およびBaseへブリッジされ、そこで流動性プールが枯渇させられました。最も被害が大きかった最終段階はBNB Chainで展開され、対策が講じられる前にトークンが急速に売却されました。
その影響は即座に現れました。SFUNDの価格は1日足らずで60 percent近く下落し、一時的に$0.0537まで落ち込みましたが、その後$0.25付近まで回復しました。BNB Chain上の約64,000人のトークン保有者が直接的な影響を受け、保有資産の価値が下落、あるいは突然のトークン流入によって希薄化しました。盗まれた資金のうち約$200,000はHTXによって凍結されましたが、大部分は未回収のままです。
Seedify Suffers $1.2 Million Breach
チームによる緊急対応
Seedifyはエクスプロイト(脆弱性攻撃)を特定後、迅速に行動しました。ブリッジの運用は停止され、影響を受けたチェーン全体でのトークンアクティビティは一時停止、侵害された権限は取り消されました。攻撃者のウォレットはブラックリストに登録され、市場のボラティリティを抑えるために中央集権型取引所での取引も一時的に停止されました。
チームは、このエクスプロイトが侵害された単一のウォレットのみに影響を与えたことを強調しました。ユーザーのウォレット、コアコントラクト、およびSeedifyの広範なプロトコルは直接的な影響を受けていません。現在、セキュリティ監査が見直されており、外部パートナーを招いてプラットフォームのインフラストラクチャの再検証が行われています。
ブロックチェーンアナリストによる調査の結果、この攻撃は北朝鮮の国家支援グループによるものと関連付けられました。同グループは他の注目を集めるweb3エクスプロイトにも関与しており、Seedifyでの犯行の手口は過去の事件で使用された戦術と一致しています。
Seedify Suffers $1.2 Million Breach
Phoenix Raiseによる復旧の取り組み
この攻撃を受け、Seedifyの創設者であるMeta Alchemist氏は「Phoenix Raise」と呼ばれる復旧イニシアチブを発表しました。この計画は、資金を失ったユーザーへの補償、プラットフォームのセキュリティシステムの強化、そして買い戻しを通じたSFUND経済の安定化を目的としています。また、チームはSFUNDトークンの完全な移行準備を進めていることも確認しましたが、具体的なスケジュールは共有されていません。
Seedifyによると、Phoenix Raiseはプラットフォームがパーミッションレスなローンチパッドモデルへと移行する中での成長とマーケティング活動の資金源にもなる予定です。移行の詳細が確定するまで、ユーザーはSFUNDをBNB Chain上でのみ取り扱うよう推奨されています。
Seedify Suffers $1.2 Million Breach
web3セキュリティの全体像
Seedifyのエクスプロイトは、web3プラットフォーム、特にクロスチェーンブリッジが直面している脆弱性を再認識させるものです。監査を通過したコントラクトであっても、秘密鍵が侵害されればリスクにさらされます。この事件により、マルチシグ承認や重要な操作に対する時間差トランザクションなど、より厳格な保護策を採用するよう求める声がプロジェクト間で高まっています。
今週、見出しを飾ったセキュリティ問題はSeedifyの件だけではありません。TwitchストリーマーのRastalandTV氏は、Steam上でマルウェアに感染したゲームをダウンロードした結果、配信中に$32,000以上の暗号資産を失いました。盗まれた資金は彼の癌治療のために集められた寄付金であり、コミュニティの怒りを買い、募金活動が行われる事態となりました。このマルウェアは、これまでに260件以上の被害と$150,000を超える総損失に関連付けられています。
よくある質問(FAQ)
Seedifyで何が起きたのですか?
9月23日、攻撃者が開発者キーにアクセスしたことで、SeedifyのSFUNDブリッジがエクスプロイトされました。不正なトークンがミントされ、複数のチェーンで売却された結果、1.2 millionドル以上の損失が発生しました。
誰がSeedifyをハッキングしたのですか?
Seedifyは、過去のweb3攻撃で知られる北朝鮮に関連するハッキンググループによるものと断定しました。ブロックチェーンアナリストもこの結論を支持しています。
Phoenix Raiseとは何ですか?
Phoenix Raiseは、エクスプロイトの影響を受けたユーザーへの補償、セキュリティの向上、買い戻しによるSFUNDの安定化、そしてプラットフォームの将来的な成長への資金提供を目的としたSeedifyの復旧計画です。
SFUNDはまだ安全に使用できますか?
Seedifyは、トークンの移行が完了するまで、SFUNDをBNB Chain上でのみ使用するようアドバイスしています。今回の攻撃において、コアコントラクトやユーザーのウォレットは直接侵害されていません。
Seedifyは失われた資金を回収しますか?
盗まれた資産のうち約$200,000はHTXによって凍結されましたが、大部分の資金は未回収のままです。Phoenix Raiseイニシアチブは、ユーザーの損失を補填し、今後のエコシステムを強化することを目的としています。
