分散型金融プラットフォームMoonwellは2025年11月4日に100万ドルの攻撃を受けたことで、DeFiプロトコルが外部の価格データに依存することにおける重要な脆弱性が明らかになりました。この攻撃は、貸付プロトコルのBaseとOptimismネットワークにおけるオペレーションを標的にし、洗練されたフラッシュローン攻撃により資金を引き出しました。
この事件はブロックチェーンセキュリティ企業BlockSecがMoonwellのスマートコントラクトを狙った不審な取引を検出した際に発生しました。同社の分析によれば、攻撃者はラップされた再ステークされたETH (wrstETH)の価格を約580万ドルと誤報したrsETH/ETHオラクルフィードの不具合を利用しました。その結果、フラッシュローン攻撃を繰り返し実行し、最小限の担保で大額の加密通貨を借りることが可能になりました。セキュリティ企業CertiKは報告し、「攻撃者はオラクルの誤作動のため、~0.02 wrstETHをフラッシュローンし預けるだけで20wstETHを繰り返し借りることが可能でした」としています。
この攻撃により、攻撃者は最終的に約295 ETHを手に入れ、それは約100万ドルの価値がありました。
脆弱性のパターン
この最新の侵害は、Moonwellにとって3年で4回目の大規模なセキュリティインシデントであり、プロトコルのセキュリティインフラストラクチャに対する深刻な疑問を投げかけています。このプラットフォームは以前、2025年10月に1.7百万ドルを失いましたが、それは関税発表による市場の崩壊時にオラクル-DEX価格のギャップが攻撃者に清算メカニズムを悪用させたことによるものでした。
2024年12月には、MoonwellはUSDC貸付契約を狙った320,000ドルのフラッシュローン攻撃を受け、悪意のある契約が「mToken」と偽って不正なトークン認証を与えました。攻撃者はTornado Cashを使ってウォレットに資金を入れ、盗まれたUSDCをDAIに迅速に交換し、当局が対応する前に逃亡しました。
プロトコルは2022年のNomad Bridgeの事件に関連する問題も経験しましたが、正確な財務的影響は不明のままです。この憂慮すべき実績は、セキュリティ監査人QuillAuditsに「またしてもMoonwellの攻撃。3年で4回目の大きな事件です。」と注目されました。
市場への影響と投資家の信頼
この攻撃はMoonwellのエコシステムに即座に衝撃を与えました。攻撃のニュースを受けて、WELLトークンは単日に13.5%急落し、より広範な暗号通貨市場の3.95%の下落を大幅に上回りました。11月4日現在、WELLは約$0.0155で取引されており、過去1か月で51%減少し、歴史的高値から96%以上減少しました。
このタイミングはMoonwellにとって特に不運でした。同社は10月に記録的な手数料収入を報告し、BaseとOptimismで貸し手および準備金に$2.12百万を分配しました。この成功は「借入需要の増加→高金利→より多くの収入→準備金オークションで毎月より多くのWELLが獲得される」として説明されましたが、最近のセキュリティ侵害はこれらの好ましい指標を覆い、プロトコルから資本流出の懸念を引き起こしました。
投資家の不安を増す要因として、MoonwellはImmunefiのバグ賞金プログラムを2025年の初めに中止しましたが、その数ヶ月後にこれらの大きな攻撃が発生するとは予測されていませんでした。この決定は、その後のセキュリティの失敗を背景に、今や疑問視されています。
DeFiにおけるオラクルの問題
Moonwellの事件は、分散型金融が直面する根本的な課題を浮き彫りにしました。それは、オラクルと呼ばれる外部データソースへの依存です。これらのシステムは資産価格などの現実世界の情報をスマートコントラクトに提供しますが、潜在的な故障点を導入します。
このケースでは、攻撃はrsETH/ETH価格フィードのオフチェーンオラクルの脆弱性に起因しており、チェーンリンクによって供給されていた可能性があります。セキュリティアナリストは、オラクルの設定には「古いハートビート間隔と広範な逸脱しきい値が含まれており、価格の変動が更新をトリガーする前に大きな差異を可能にした」と指摘しました。
攻撃方法自体は洗練されていました。フラッシュローン(一回の取引内で返済しなければならい担保不要のローン)を用いて、ハッカーは不具合のあるオラクルデータに基づいて担保額を膨らませました。プロトコルがわずか0.02 wrstETHの預金を116,000ドル以上と評価したため、攻撃者は取引ごとに20 wstETHを借りることができ、複数のオペレーションにわたってMoonwellの準備金を枯渇させることができました。
ブロックチェーンアナリストによれば、MEV(最大抽出可能値)ボットが脆弱性を特定して利用するために関与していた可能性があり、自動取引システムがプロトコルの弱点を迅速に活かすことを強調しています。
より広範なDeFiセキュリティ危機
Moonwell攻撃は、分散型金融にとって特に激動の時期に発生しました。わずか1日前の11月3日、Balancerは致命的な1億2800万ドルのハッキングに見舞われ、Ethereum、Berachain、Arbitrum、Base、Optimism、Polygonを含む複数のブロックチェーンに影響を与えるV2プールに影響を与えました。
Balancer攻撃は、「ブーステッドプール」と「manageUserBalance」機能の不適切なアクセス制御の脆弱性を悪用しましたが、コードベースは2021年以降11回の独立したセキュリティ監査を経ており、徹底した監査でもプロトコルのセキュリティを保証できないことがわかりました。
さらに、Ethereum互換のLayer 1ブロックチェーンであるBerachainは、Ethena/Honeyトリプールに関連する攻撃を受けました。Berachain Foundationは、さらなる損害を防ぐためにそのネットワークを一時停止し、Chief Smokey OfficerのSmokey The Beraは「ユーザー資金12mドルがリスクにさらされている場合...ユーザーを保護するためにバリデータセットの調整を試みました。」と説明しました。
これら3つの事件が2025年11月初めに発生し、DeFiプロト콜から少なくとも2億2200万ドルが消失しましたとThe Blockは報告し、ブロックチェーンネットワーク間の流動性と担保システムがいかに深く相互接続されているかを明らかにしました。
最後の考察
PeckShieldのデータは、DeFiのハッキングによる損失が10月に85.7%減少し、15件の事件で1818万ドルに - 9月の1億2700万ドルから減少しましたが、11月の攻撃は重要な脆弱性が残存していることを示しています。オラクル操作とフラッシュローン攻撃は、DeFiプロトコルへの最も効果的な攻撃手段の一つであると考えられています。
業界の専門家は、これらの事件が、オラクルの検証要件を厳格化し、多数のソースの価格検証システムを含む方針を加速する可能性が高いと主張しています。DeFiプロトコルは、より頑健な価格整合性チェック、オラクル更新のためのより迅速なハートビート間隔、異常な価格変動が検出されたときにオペレーションを一時停止する回路ブレーカーを導入する必要があるかもしれません。
Moonwellにとって、信頼を再構築する道のりは挑戦的に見えます。総ロック金額がピーク時の約4億ドルから、最新の攻撃前には約2億3400万ドルまで減少しており、さらなる減少が予想される中、プロトコルは包括的なセキュリティアップグレードを実施し、影響を受けたユーザーを補償する必要がある可能性があります。
2025年11月の攻撃は、何年もの開発とDeFiプロトコルにロックされた何十億ドルにもかかわらず、セクターが洗練された攻撃に対して脆弱なままであることを示す厳しい警告です。採用が進み、より多くの機関資本が分散型金融に流入するにつれて、セキュリティ対策の強化、より良いオラクルシステム、およびより包括的なリスク管理の重要性はこれまでになく重要になっています。