DeFiプロトコルNeutrl、DNSハイジャックによるユーザー資金流出を受け運営停止

Neutrl、DNSハイジャックを受けて3月19日にプロトコルを一時停止

分散型金融（DeFi）プロトコルNeutrlは、そのフロントエンドが侵害された後、3月19日にプラットフォームの運営を停止しました。チームはX（旧Twitter）を通じて、フロントエンド攻撃の疑いがあることを発表し、ユーザーにウェブサイトとのすべてのやり取りを直ちに中止するよう助言しました。初期調査の結果、このインシデントはスマートコントラクトの悪用ではなく、ドメインネームシステム（DNS）のハイジャックであることが判明しました。攻撃者は、ソーシャルエンジニアリングを使用してプロバイダーからアプリドメインの制御権を奪取し、トラフィックをNeutrlインターフェースの悪意のあるレプリカにリダイレクトしました。

これに対応して、Neutrlは侵害されたフロントエンドとのあらゆるやり取りを防ぐための予防措置として、スマートコントラクトをオフラインにしました。チームはセキュリティ企業@0xGroomLakeと協力して侵害を調査しており、完全な事故後レポートをリリースすることを約束しています。

攻撃者はユーザーを騙して悪意のあるパーミッションを付与させた

この攻撃の主な目的は、ユーザーを騙して悪意のあるPermit2パーミッションを承認させることでした。これらのパーミッションは、外部コントラクトがユーザーのトークンを管理することを許可するものであり、詐欺的なアドレスにこれらを付与すると、攻撃者はさらなる確認なしにユーザーのウォレットから資金を抜き取ることが可能になります。クローンされたウェブサイトは正規のものと全く同じように見えたため、ユーザーが悪意のある承認要求を検出することは困難でした。

Neutrlは、ユーザーに対し、Revoke.cashなどのサービスを利用して、以下の2つの特定の悪意のあるコントラクトアドレスに付与されたパーミッションを取り消すよう助言しました。

0x23f2741EaA0045038e9b52100CdcC890163dE53F
0xa0Adf074056E41dfB892aFC69881E15073b384b9

進行中のセキュリティインシデントに関する更新：現在、@0xGroomLakeと協力して調査を進めています。初期調査の結果、アプリドメインをホストしているDNSプロバイダーがソーシャルエンジニアリング攻撃を受け、攻撃者がドメインをリダイレクトできるようになったことが示唆されています。Neutrlのスマートコントラクトは安全なままです…

— Neutrl, 2026年3月19日

フロントエンドのセキュリティは依然としてDeFiの重大な脆弱性である

このインシデントは、分散型金融エコシステムにおける根強い弱点を浮き彫りにしています。プロトコルはスマートコントラクトの監査に多額の投資を行うことが多いですが、ユーザーが利用するフロントエンドは依然として攻撃者の主要な標的です。DNSなどの手段を通じてウェブサイト層を侵害することで、ハッカーは基盤となるブロックチェーンプロトコルを侵害することなく、ユーザーの行動を傍受し、資産を盗むことができます。この種の攻撃は、ユーザーがウェブサイトインターフェースに抱く信頼を悪用し、安全なバックエンドを罠に変えてしまいます。