CrediXがマルチシグの脆弱性を突かれ被害発生
DeFi(分散型金融)クレジットプロジェクトのCrediXがハッキング被害に遭い、被害額は推定450万ドル(約6.6億円)に上る事がわかった。
この事件は、秘密鍵の漏えいと、アクセス制御の欠陥によって攻撃者がシステムへ不正アクセスできたことが原因とされる。ブロックチェーン監視企業の分析によると、攻撃の約6日前に攻撃者はACLManagerを使ってCrediXのマルチシグウォレットに管理者とブリッジの両権限を付与された。これにより攻撃者は担保トークンの発行や資金の移動を行う完全な権限を得た。
また、オンチェーンセキュリティ企業SlowMistは、CrediX内のガバナンスアクセス構造が脆弱であったことを確認。ACLManager経由での管理者・ブリッジ権限の不適切な付与が、プロトコル内部の資産流出を招いた。
この一連の攻撃は、分散型ガバナンス環境におけるアクセス制御の甘さと、それに起因するセキュリティリスクの大きさを浮き彫りにしている。特にマルチシグ運用において、署名者の管理やアクセス権限の設計不備は致命的な被害を生みかねない。
CrediXの対応と資金回復の見通し
攻撃を受けたCrediXは、新規ユーザーの入金を停止し、Webサイトを一時的にオフライン化する緊急措置を講じた。
セキュリティ強化の対応を進めつつ、ユーザーには盗まれた資金が24~48時間以内に回復される見込みであると説明している。セキュリティ企業の報告によれば、盗まれた資金はSonicネットワークからイーサリアム(Ethereum)ネットワーク上のアドレスへと橋渡しされ、そのアドレスには現在も資産が残されたままである。現時点で追加の移動は確認されていない。
マルチシグをめぐる構造的課題と今後の対策
Hackenのレポートによれば、2025年上半期に発生した仮想通貨関連の損失は総額で31億ドルに達しており、その多くがマルチシグウォレットに関連するセキュリティ上の欠陥によって引き起こされた。
特に注目されたのは、署名者が偽装されたインターフェースに騙されて発生したBybitの被害である。マルチシグ運用におけるUI設計や署名フローの脆弱性は深刻なリスクとして再認識されている。
Hackenが推奨するリアルタイム監視の重要性
こうした状況を踏まえ、Hackenは単発的なコード監査ではなく、リアルタイムでマルチシグの挙動を監視するAI駆動型セキュリティシステムの導入を推奨している。
リアルタイム監視によって、異常な挙動を即時検出し、迅速な対応を可能にすることが求められる。実際、2025年に報告された仮想通貨の損失の80%以上はアクセス制御の不備に起因しており、より厳格な署名者管理、セキュアなUI設計、ルールベースの自動化が不可欠とされる。
CrediXは引き続き資金の回収に取り組んでおり、具体的な進展については今後の発表が注目される。
