Goldfinch Financeのユーザーdeltatiger.ethがハッキングされ、これまでに33万ドルが盗まれた

ブロックチェーンセキュリティプラットフォーム「PeckShield」によると、 Ethereumベースの DeFi プラットフォーム「Goldfinch Finance」のdentユーザーが攻撃を受け、約33万ドルの損失を被ったという。

PeckShieldAlertは火曜日、Goldfinchユーザーdeltatiger.ethの攻撃者が Ethereum上の古いスマートtracをハッキングした後、約118 ETHをTornado Cash に送金したと報じた。

0x0689aa2234d06Ac0d04cdac874331d287aFA4B43 としてdentされる侵害されたtracにより、犯人はデルタタイガーのウォレットを制御し、資金を流出させることができました。

#PeckShieldAlert @goldfinch_fiのユーザー deltatiger.eth @deltatigernz が攻撃を受け、約 33 万ドルの損失が発生しました。

ハッカーは ドルETHを 盗んだ資金の #TornadoCash。

の承認を直ちに*取り消してください*trac:… pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2025年12月2日

脆弱性は契約のcollectInterestRepayment()tracに存在し、承認を得た任意のアドレスからUSDCを送金できます。攻撃者は1,000USDCを入金し、株価を人為的につり上げた後、繰り返し資金を引き出していたと報告されています。

PeckShieldは、ハッカーtrac使い続けているため、ハッカーがさらに多くのトークンを盗むのを防ぐため、「契約上のすべての承認を取り消す」ようユーザーに Tornado Cash した。 

今のところ、deltatiger と Goldfinch からは最新情報は発表されておらず、どちらの組織も、本日午前 9 時 30 分頃 UTC にエクスプロイトが発生した後に攻撃者が彼らと通信したかどうかについては明らかにしていない。

ゴールドフィンチ・ファイナンスの分散型融資方式に欠陥

Goldfinch Finance は、a16z Crypto や Coinbase Ventures など、暗号業界の大手企業によってサポートされている分散型金融 (DeFi) プロトコルです。 

Goldfinchは、他の多くの暗号資産融資プラットフォームとは異なり、借り手に担保を提供する必要がありません。代わりに、借り手は融資提案書を提出し、出資者と監査人による審査を受けます。 提案 書が十分な支持を得た場合、融資が承認されます。流動性提供者、出資者、監査人は報酬として利息を受け取り、借り手は担保を差し入れることなく資金にアクセスできます。 

このプロトコルは2021年2月に Ethereum 上で稼働を開始し、当初100万ドル相当のローンを発行しました。バージョン1.1は1か月後の2021年3月にリリースされ、その数か月後にはアンドリーセン・ホロウィッツから1,100万ドルの資金調達を実施しました。2021年10月には、Nexus Mutualと提携し、流動性プロバイダーと支援者がスマートtrac保険を購入できるようになりました。 

Coingeckoのトークン端末によれば、Goldfinchプロトコルの完全希薄化後時価総額は3,050万ドル、過去30日間のトークン取引量は1,240万ドル、アクティブローン総額は9,130​​万ドルとなっている。

2023年、東アフリカのバイク金融会社「トゥゲンデ・ケニア」は、ウガンダに拠点を置く親会社に無許可の融資を行い、融資条件に違反した疑いで、500万ドルの仮想通貨融資の返済を滞納した。

Goldfinchの親会社であるWarbler Labsは、Tugende Kenyaが親会社に約200万ドルを流用していたことを発見しました。この情報漏洩は同年12月に発覚しましたが、会社の記録によると、2024年2月にGoldfinchのガバナンスフォーラムで報告されました。

2024年には、シンガポールに拠点を置く民間信用会社レンド・イーストが債務不履行に陥り、ゴールドフィンチ・プールからの1,015万ドルの融資のうち、約425万ドルしか返済できないと発表しました。この金額は返済額を58%下回り、ゴールドフィンチの有効融資総額の7.7%を占めていました。 

Lend Eastプールの期間は25ヶ月で、満期は2024年4月3日、USDC年利17%またはGFI年利28%の変動金利が提供されていました。Discordコミュニティのメンバーは、Goldfinchから借り入れた75万ドルが他の借り手への返済に使用され、当初の融資契約に違反していると主張しました。

12月は DeFi プロトコルがハッキング被害に遭う

Yearn FinanceのyETHが無制限のマイニング侵害を受け、単一のトランザクションでyETHプール全体が枯渇した事件からわずか24時間後に発生した。Cryptopolitanのレポートによると Cryptopolitan、 攻撃者はほぼ無限のyETHトークンを生成し、tracCashCash CashCashCashCash CashCash。

yETHは、 Ethereum Liquid Staking Derivatives（LST）として知られる、複数のETHのLiquid Stakingバージョンに基づくインデックストークンです。この脆弱性は、XユーザーのTogbe氏によって報告されました。Togbe氏は、Yearn、Rocket Pool、Origin、DineroなどのLSTにおける「大量のトランザクション」を指摘しました。

Yearn Financeは公式Xアカウントを通じてこのdent 確認したが、V2およびV3 Vaultは安全であるとユーザーに保証した。これは、2021年にYearnのyDAI Vaultへの侵入により280万ドルの損失が発生したこと、そして2023年12月にスクリプトの不具合により財務ポジションの63%が消失した事件以来、2度目の攻撃となる。

ブロックチェーンセキュリティ企業のCertiKは日曜日、暗号資産業界が ハッキングやエクスプロイト 。同社の月次脅威レポートによると、実際に影響を受けた資金は1億7200万ドルを超えたが、約4500万ドルは後に回収されたという。