Last Updated on 2025-05-13 08:14 by admin
Ethereumの最大の液体ステーキングプロトコルであるLidoが、バリデーターオペレーターのChorus Oneのオラクルキー侵害によるハッキング試行を回避した。この事件は2025年5月10日に発生し、Chorus Oneが管理するホットウォレットが不正アクセスを受けた。
侵害されたキーはオラクルレポーティングに使用されるホットウォレットに関連しており、ガス料金としてわずか1.46 ETH(約3,800ドル相当)が失われた。Lidoは現在、Ethereumにステーキングされているすべてのイーサ(ETH)の25%以上を保護しており、Ethereumエコシステムにおいて最も重要なプロトコルの一つとなっている。
問題のホットウォレットは2021年に作成されたもので、Chorus Oneが管理する他のキーと同じ厳格なセキュリティ基準に従っていなかった。Lidoのオラクルシステムは5-of-9のクォーラムメカニズムを使用しており、最大4つのキーが侵害されてもシステムは安全に機能できる設計となっている。
この不審なアクティビティは5月11日(日曜日)の早朝、残高不足アラートがアドレスの詳細な調査を促した後に発見された。対応として、Lidoは侵害されたオラクルキーを3つのコントラクト(会計オラクル、バリデーター退出バスオラクル、CS手数料オラクル)にわたって交代させるための緊急DAO投票を開始した。
侵害されたアドレス(0x140B)は新しい安全なアドレス(0x285f)に置き換えられ、オンチェーン投票はすでに承認され、アジア時間の5月13日(月曜日)の朝の時点で48時間の異議申し立て期間中である。
この事件はユーザー資金には影響せず、より広範な侵害も検出されなかった。Lidoの暗号資産LDOは過去24時間で1.75%下落し、現在1.09ドルで取引されている。
なお、Chorus Oneによれば、この攻撃は標的を絞ったものというよりは自動化されたシステムを使用したものである可能性が高いとされている。また、この事件は他のオラクルオペレーターが無関係なノードの問題を経験していた時期に発生した。その中には、Ethereumの最近のPectraアップグレードによって導入された軽微なPrysmのバグも含まれており、5月10日にオラクルレポートが一時的に遅延した。
References:
Hacking Attempt on Lido Results in 1.4 Ether Lost From Oracle Provider
【編集部解説】
今回のLidoのオラクルキー侵害事件は、Ethereumエコシステムにおける重要なセキュリティ事例として注目に値します。複数のソースを確認したところ、事実関係に大きな相違はなく、Chorus Oneのオラクルキーが侵害され、約1.46 ETH(約3,800ドル相当)が失われたことが確認できました。
まず、この事件の重要な点は、Lidoがステーキングされたイーサリアムの25%以上を管理する巨大プロトコルでありながら、被害が最小限に抑えられたことです。これはLidoのセキュリティ設計が効果的に機能した証拠と言えるでしょう。
Lidoのオラクルシステムは5-of-9のクォーラム方式を採用しており、これは9つのオラクルキーのうち少なくとも5つの合意が必要というシステムです。この設計により、今回のように1つのキーが侵害されても、システム全体の安全性は保たれました。
侵害されたキーは2021年に作成された古いもので、最新のセキュリティ基準を満たしていなかった点も重要です。テクノロジーの進化に伴い、セキュリティ対策も常に更新していく必要性を示す事例と言えるでしょう。
興味深いのは、この侵害が他のオラクルオペレーターが無関係なノード問題を経験していた時期と重なったことです。特にEthereumの最近のPectraアップグレードによって導入されたPrysmのバグが5月10日にオラクルレポートを遅延させていました。このような複合的な状況は、攻撃者が意図的にシステムの脆弱な時期を狙った可能性を示唆しています。
Chorus Oneの調査によると、この攻撃は標的を絞ったものというよりは、自動化されたシステムを使用した広範囲にわたる自動スキャンの一部だった可能性が高いとされています。これは、特定のプロトコルを狙った攻撃というよりも、脆弱性を持つウォレットを自動的に探し出す攻撃の一環だったと考えられます。
Lidoの迅速な対応も注目すべき点です。侵害が発見されるとすぐに緊急DAO投票を開始し、侵害されたオラクルキーを3つのコントラクトにわたって交代させる措置を取りました。この素早い対応がさらなる被害を防いだと考えられます。
分散型金融(DeFi)の成長に伴い、このようなセキュリティ事件は増加傾向にあります。Hackenのレポートによると、2025年第1四半期だけで20億ドル以上の暗号資産が悪意ある活動によって失われており、4月には3月と比較して大幅に増加した3億5,700万ドルの損失が報告されています。
このような状況下で、Lidoのような大規模プロトコルがセキュリティ侵害を最小限の被害で乗り切ったことは、適切なセキュリティ設計と迅速な対応の重要性を示しています。特に、複数の署名者による承認システム(マルチシグ)やクォーラム方式の有効性が実証されました。
今後、DeFiプロトコルはより洗練されたセキュリティ対策を講じる必要があるでしょう。特に古いシステムや鍵の定期的な更新、セキュリティ監査の強化が重要になってきます。Lidoの事例は、他のDeFiプロジェクトにとって貴重な教訓となることでしょう。
最後に、ユーザーにとっての影響ですが、LidoのバリデーターヘッドであるIzzyによれば、最悪のシナリオでもstETH(ステーキングされたETHの代替トークン)のリベース(価値調整)に遅延が生じる程度で、特にレバレッジをかけたDeFi戦略を使用していない限り、影響は軽微だったとされています。これは、適切に設計されたDeFiプロトコルが、セキュリティ侵害に対しても耐性を持つことを示す好例と言えるでしょう。
【用語解説】
Lido(リド):
Ethereumなどの仮想通貨をステーキングするための液体ステーキングプロトコル。ユーザーが自分でバリデーターを運用する必要なく、少額からでもステーキングできるサービスを提供している。
流動性ステーキング(Liquid Staking):
通常のステーキングでは資金がロックされるが、流動性ステーキングではステーキングしながらも、その代わりに受け取るトークン(stETHなど)を自由に取引や利用ができる仕組み。
stETH:
Lidoでイーサリアムをステーキングすると1:1で発行される代替トークン。ステーキング報酬が日々反映され、価値が増加していく特徴がある。
オラクル:
ブロックチェーン上のスマートコントラクトに外部データを提供するシステム。Lidoの場合、Ethereumのコンセンサスデータをスマートコントラクトに提供する役割を持つ。
Chorus One:
2018年に設立されたステーキングサービスプロバイダー。50以上の分散型ネットワークでバリデーターを運用している。
DAO(分散型自律組織):
トークン保有者による投票で意思決定を行う組織形態。Lido DAOはLidoプロトコルの管理やノードオペレーターの選定などを行っている。
クォーラム方式:
Lidoでは「5-of-9」のクォーラム方式を採用しており、9つのオラクルキーのうち少なくとも5つの合意があれば操作が実行できる仕組み。
【参考リンク】
Lido公式サイト(外部)
Ethereumの主要な流動性ステーキングプロトコル。最高レベルのセキュリティと競争力のある報酬を提供。
Chorus One公式サイト(外部)
グローバルに展開する大手ステーキングプロバイダー。50以上のネットワークでバリデーターを運用。
CoinDesk(外部)
暗号資産とブロックチェーン技術に関する最新ニュースを提供する主要メディア。
Lido DAO Forum(外部)
Lidoの技術的な議論やガバナンス提案が行われるフォーラム。今回の対応も議論されている。
【参考動画】
【編集部後記】
DeFiの世界では、セキュリティ対策が日々進化しています。皆さんは自分の資産を守るために、どのようなセキュリティ対策を取っていますか?マルチシグウォレットの利用や定期的なパスワード更新など、今回のLidoの事例から学べることは多いはず。また、ステーキングサービスを選ぶ際に重視する点は何でしょうか?セキュリティ、利回り、使いやすさ…様々な観点があると思います。SNSでぜひ皆さんの考えをシェアしてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
ブロックチェーンニュースをinnovaTopiaでもっと読む
