最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- ブロックチェーンセキュリティ企業のBlockaidは、Yield Yakの投票用サブドメインでフロントエンドハッキングを検知した。攻撃者はそこで、ウォレットを盗むためのEleven drainerスクリプトを注入していた。.
- 今回の攻撃は、最近発生したGitcoinへの侵害事件と類似しており、ハッカーがコアとなるスマートtracではなく、暗号通貨プラットフォームのサブドメインを標的にする傾向が強まっていることを示唆している。.
- 被害額は確定していないものの、侵害されたサイトにウォレットを接続していたユーザーは、不正な取引の被害に遭った可能性がある。.
ブロックチェーンのサイバーセキュリティ企業であるBlockaidは、2026年6月24日、分散型金融(DeFi)の利回り集約プラットフォームであるYield Yakのウェブサイトでフロントエンドハッキングを検知した。Blockaidによると、Yield Yakのサイトのフロントエンドは、ウォレットから資金を抜き取る悪意のあるスクリプトによって侵害されていた。このような攻撃が主要な仮想通貨取引プラットフォームに対して行われたのは、ここ数日で2度目であり、主要な仮想通貨プラットフォームを標的とした最近のフロントエンドハッキングの傾向における最新の事例となる。.
Blockaidの検出プロセスによると、サブドメインvote.yieldyak.comは「Eleven drainer」と呼ばれるソフトウェアのコードによって侵害されていた。ウォレットドレイナーは、ユーザーが承認したトランザクションを通じて、ユーザーのデジタル資産を攻撃者に送金するように仕向ける悪意のあるスクリプトの一種である。この悪意のあるコードは、ユーザーがウォレットを接続した瞬間に、多くの場合、ユーザーが何をしているのかさえ気づかないうちに、アクションの承認を強制したり、資産を攻撃者に送信したりする。この記事の公開時点では、BlockaidもYield Yakも、このハッキングによる損失額に関する情報を提供していない。.
攻撃者は classic 戦術を用いる
Yield Yakへのハッキングは、数日前にオープンソースの資金調達プラットフォームであるGitcoinで発見された脆弱性とよく似ている。Blockaid によると、6月21日、Gitcoinのサブドメインであるfiles.gitcoin.coに同じEleven drainerコードが存在し、検証中であるためプラットフォームを利用しないよう警告していた。Blockaidは、Yield Yakへの攻撃は「昨日発生したdent 、同様の手口で運用されている」
🚨Blockaidのシステムは、dentによるyieldyak[.]comへのフロントエンド攻撃を特定し @yieldyak_。サイトのサブドメインであるvote[.]yieldyak[.]comには現在、イレブン・ドレイナーのコードが含まれています。
— ブロックエイド(@blockaid_) 2026年6月24日
これは、昨日dent で @gitcoin 発生した同様の 。pic.twitter.com/YFmWEYfa7D
どちらのケースでも、コアとなるアプリケーションインターフェースではなく、サブドメインが侵害されました。Avalanche上で動作する自動複利型イールドファーミングプロトコルであるYield Yakのコア製品は、 Avalancheれるリスクを負うことになります ウォレットの資金を抜き取ら。
ウォレット defi額が確定していないからといって、必ずしも被害が最小限にとどまるわけではありません。フロントエンドの脆弱性は通常、セキュリティチームがdent事件では、悪意のあるコードが削除されるまでにウォレットを接続した人数に基づいて、損失額は数千ドルから数百万ドルに及びました。たとえば、Blockaidが監視した事件の1つではdent約320万ドルを盗みました 、86のSafeウォレットから 。2つ目の例は、流動性プロバイダーであるTrustedVolumesの悪用で、590万ドルの損失が発生しました。
フロントエンド攻撃の急増
前述のYield YakとGitcoinのハッキング事件は、今年暗号通貨コミュニティを揺るがした大きなトレンドの一部である。攻撃者がスマートtracに影響を与えることなくプロジェクトのウェブサイトを悪用するフロントエンド攻撃は、主要な DeFi プラットフォーム全体で頻度が増加している。.
今年初め、OpenEden、Curvance、Maple Financeの3社は、2月の1週間で立て続けにフロントエンド攻撃を受けた。これらの攻撃ではAngelFernoと呼ばれる別のドレイナーツールキットが使用されたが、手法は同じだった。すなわち、プロジェクトのウェブインフラにアクセスし、ウォレット接続を乗っ取るコードを挿入し、ユーザーが操作するのを待つというものだ。.
Blockaidは、2026年4月にさらに攻撃的なパターンが見られたことを記録している。Drift Protocol、 KelpDAO、その他のプラットフォームで注目を集めた攻撃の後、資金流出を企む者たちは、トークン承認を取り消す方法を探しているパニック状態のユーザーを狙って、数時間以内に類似のドメインを立ち上げた。同社は2026年4月を「記録上最悪の仮想通貨盗難月」と表現し、20件以上のdent。
Yield Yakユーザーが知っておくべきこと
Yield Yakは、Alchemyに掲載されている情報によると、 Avalanche プラットフォーム上の DeFi プロトコルであり、イールドファーミング報酬を自動的に複利化し、分散型取引所アグリゲーターを運営しています。メインプラットフォームのスマートtracを通じて資産を預け入れたユーザーは、基盤となるtracが変更されていないため、フロントエンドの侵害による直接的な影響を受けません。このリスクは、侵害されたサブドメインにアクセスし、ウォレットを接続したり、トランザクションに署名したりしたすべての人に適用されます。.
本稿執筆時点では、Yield YakもGitcoinも、それぞれのdentに対する復旧状況について公式声明を発表していません。セキュリティ企業やブロックチェーン調査機関は、Yield Yakの侵害に関連する損失を公式に報告しておらず、現時点では、潜在的な盗難の規模を示すオンチェーン上の証拠もありません。Blockaidは、問題の調査と復旧作業が行われている間は、影響を受けたウェブサイトを利用しないようユーザーに勧告しています。.
vote.yieldyak.comとやり取りした疑いのあるユーザーは、信頼できるツールを使用してセッション中に付与したトークンの承認を取り消し、ウォレットを監視して不正な送金がないか確認してください。.
この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。
よくある質問
Yield Yakのウェブサイトはどうなったのですか?
セキュリティ企業Blockaidは、Yield Yakのサブドメインvote.yieldyak.comに、ユーザーがウォレットを接続した際に暗号資産を盗むように設計された悪意のある「Eleven drainer」コードが注入されたことを検出した、とBlockaidは2026年6月24日にXで警告した。.
Eleven Drainerは、Gitcoinを襲ったマルウェアと同じものですか?
はい。Blockaidは、Yield Yak攻撃が3日前にGitcoinのfiles.gitcoin.coサブドメインで発見されたEleven drainerコードと同じものを使用したことを確認し、2つのdentは同様の方法で実行されたと述べています。.
Yield Yakのスマートtracと預託資金は影響を受けますか?
フロントエンド攻撃は、プロジェクトのスマートtracではなく、ウェブサイトを標的とします。侵害されたサブドメインにアクセスしたり操作したりしていないユーザーは直接的なリスクにさらされませんが、vote.yieldyak.comにウォレットを接続したユーザーは、トークンの承認を取り消し、不正な取引がないか確認する必要があります。.
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
アシシュ・クマール
アシシュ・クマールは、8年間の報道経験を持つ仮想通貨および金融ジャーナリストです。仮想通貨市場、規制、 DeFi、取引所エコシステムに関する最新情報を取材しています。Coingape、Todayq、Newsroompostなどで勤務経験があります。IIMCで英語ジャーナリズムのPGDP(大学院ディプロマ)を取得しています。また、アーサー・ヘイズ、ヤット・シウ、オースティン・フェデラなど、業界の著名人へのインタビューも行っています。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)