TechFlowより、4月18日付の報道によると、RHEA Finance社の公式発表によれば、2026年4月16日、NEARエコシステムにおける貸付プロトコル「RHEA Finance」(旧Burrow Finance)のマージン取引機能がハッカーによって攻撃を受け、約1,840万米ドルの損失を被った。
攻撃者は事前に数日にわたり準備を進め、Ref Finance上で複数の偽トークンプールを作成し、そこに流動性を注入することで悪意あるスワップ経路を構築した。この際、プロトコルのスリッページ保護メカニズムの脆弱性を悪用した——すなわち、マルチステップスワップにおける最小出力値を算出する際に、中間トークンが複数回使用されるケースを考慮していなかった——結果として、貸し出された債務トークンが攻撃者によって支配される偽トークンプールへと導入され、大規模な強制清算が誘発され、最終的にプロトコルのレザーブプールが枯渇した。攻撃実行中に、攻撃者は追跡を隠蔽するために合計55の中间アカウントを削除した。
現時点では、攻撃者はRHEAの貸付コントラクトへ約335.9万USDCおよび156.4万NEARを返還済みであり、さらに434万USDTが凍結されている(うちTether社が329.1万、NEAR Intentsが105.3万を凍結)。当該プロトコルのコントラクトは現在停止中であり、開発チームは中心化取引所と共同で資金の追跡を進めており、関連する法執行機関にもすでに通報済みである。
お気に入りに追加
SNSで共有
