TMXプロトコル、Arbitrumでの$1.4Mの脆弱性攻撃を受ける、CertiKが監視

CertiKのセキュリティ研究者は、Arbitrumネットワーク上のTMX分散型取引所に接続された未検証のコントラクトに対する高度な攻撃を検出しました。この事件により、約140万ドル相当の資産が盗まれ、増え続けるターゲットとなっている分散型取引所（DEX）エコシステムにおける重要な侵害の一つとなりました。

140万ドルの盗難の背後にある攻撃の仕組み

ハッカーは、TMXのスマートコントラクトが流動性提供やトークンスワップを処理する方法の脆弱性を突いた複雑な多段階攻撃を仕掛けました。USDT担保を用いて繰り返しTMXの流動性プール（LP）トークンをミントし、コントラクトの設計上の欠陥を体系的に悪用しました。

攻撃の流れは次の通りです：ハッカーはTMX LPトークンをミントし、それをステーキングして報酬を得た後、USDTをUSDGステーブルコインにスワップしました。ステーキング解除後、大量のUSDGを売却し、トークン価格に人工的な下落圧力をかけました。この一連の操作により、彼らはコントラクトのリザーブから大量のUSDT、ラップドソラナ（SOL）、ラップドイーサリアム（WETH）を引き出すことに成功しました。

この攻撃が成功した理由

TMXコントラクトの監査未実施が、重要な脆弱性となったようです。正式に検証されたプロトコルと異なり、未監査のスマートコントラクトはエッジケースや悪用の可能性を見つけるための厳格なセキュリティレビューが欠如しています。攻撃者は、取引の順序を適切に検証し、多段階操作に対する十分なチェックを実装しなかったコントラクトの欠陥を突きました。これはDeFi攻撃において一般的な攻撃ベクトルです。

DEXのセキュリティに与える影響

この事件は、特にArbitrumのようなLayer 2ネットワーク上に展開された分散型取引所が直面する継続的なリスクを浮き彫りにしています。Layer 2はコスト面での利点を提供しますが、完全なセキュリティ監査を行わずに市場に急いで展開されることもあり、ユーザーや流動性提供者が危険にさらされるケースもあります。CertiKの監視能力は、これらの攻撃をリアルタイムで検知し、エコシステム全体を守るためにオンチェーンの監視が不可欠である理由を示しています。

TMXの攻撃は、確立されたDEXプラットフォームであっても、スマートコントラクトの検証と継続的なセキュリティ監視を優先しなければ、同様の侵害を防ぐことはできないという警鐘となっています。