2023年12月に520,010トークンが盗まれる原因となった0Gスマートコントラクトの脆弱性とは何でしょうか？

CVE-2025-66478 Next.jsの脆弱性：Alibaba Cloudの秘密鍵漏洩が引き起こした520,010トークン盗難

Next.jsのバージョン14.0未満に存在する重大なリモートコード実行脆弱性CVE-2025-66478は、Webアプリケーションに対する深刻な脅威であり、認証情報の漏洩と組み合わさることで被害が拡大します。この脆弱性は、React Server Componentsにおける安全でないデシリアライズ処理を狙い、攻撃者が特定のHTTPリクエストをServer Functionエンドポイントに送信することで任意コードの実行を可能にします。CVSSで9.8という高い深刻度が示されており、Next.jsのデフォルト設定でも明示的な修正がなければ脆弱性が残ります。

インフラ認証情報が漏洩すると、2022年9月に発生したAlibaba Cloud秘密鍵事件のように、攻撃対象が大幅に広がります。安全に管理されていない認証情報が流出すると、攻撃者はクラウドリソースや内部システムへ直接アクセスできるようになります。0G Labsの事例では、これらの要素が重なり、報酬コントラクトから約$516,000相当の520,010トークンが盗まれるという重大な被害を生みました。

攻撃の流れは、複数のセキュリティ不備が連鎖的に被害を拡大することを示しています。攻撃者はNext.jsの脆弱性を利用して初期のコード実行権限を獲得し、Alibaba Cloudの漏洩認証情報を使って機密システムやスマートコントラクトにアクセスしました。オンチェーンのフォレンジック調査で、プロトタイプ汚染技術による攻撃経路が特定され、セキュリティチェックを回避していたことが判明しています。この事件は、Next.jsの14.0以降へのアップグレード、強固な認証情報管理、漏洩した認証トークンの即時ローテーションの重要性を強調しています。組織はアプリケーションのセキュリティパッチとインフラ全体の防御を組み合わせ、多層的な防御戦略でこうした連鎖的な障害を防ぐ必要があります。

緊急引き出し機能の悪用：スマートコントラクト設計の不備で権限制御が突破される

ZeroGravity (0G) Foundationは、攻撃者が緊急引き出し機能の重大な脆弱性を突いたセキュリティインシデントを公表しました。この脆弱性は、スマートコントラクト設計における権限制御の不適切な実装が原因です。攻撃者は認可メカニズムを回避し、本来許可された者だけが実行できるはずの緊急引き出し処理を不正に行うことに成功しました。この攻撃により、プロトコルの準備金から52万超の0Gトークンが盗まれる大きな損失が発生しています。

ただし、この事件はユーザー資産の安全性に関して重要な違いを示しています。緊急引き出し機能は突破されたものの、個別ウォレットで管理されていたコアユーザーファンドは完全に安全で、脆弱性の影響を受けませんでした。盗まれたトークンは他のブロックチェーンネットワークへブリッジされ、Tornado Cashというプライバシーミキサーを使って資金の流れが隠蔽されました。この技術的な事後行動は、攻撃者が資金の出所を隠し、追跡を困難にする意図を示しています。本件は、スマートコントラクトの権限制御や管理機能設計に対する課題の継続を浮き彫りにしています。各プロジェクトは、重要な緊急機能に厳格なアクセス制御検証とマルチシグ承認を導入し、同様の被害を防止する必要があります。

中央集権型インフラのリスク：分散型ブロックチェーン設計でも外部クラウド依存がバックドアを招く

ブロックチェーン業界は分散型を謳っていますが、現実には中央集権型クラウドインフラプロバイダーへの依存度が非常に高い状況です。この依存は、ブロックチェーンの根本原則を損なう重大なセキュリティ脆弱性を生み出します。外部クラウドサービスは、データ漏洩、API脆弱性、設定ミスなど、分散化理念に反する複数のリスク要因をもたらします。

2025年のセキュリティ事件はこうした脆弱性を明確に示しました。10月のAWS障害は、数時間で主要な暗号資産プラットフォームや分析サービスを麻痺させ、続くCloudflare障害も世界中のブロックチェーンアプリケーションに影響を及ぼしました。これらの事件は、分散型ネットワークが中央インフラプロバイダーに依存することで単一障害点になる現実を露呈しています。

障害だけでなく、設計上の依存は危険なAPIや認証情報漏洩、脆弱な依存関係を通じてバックドアを生み出します。金融機関やブロックチェーンプラットフォームはセキュリティ責任を共有していますが、外部クラウド設定の管理が不十分な場合が少なくありません。この構造的な弱点は、業界の分散化を強調する主張にもかかわらず残り続け、エコシステムの安定性やユーザー資産の安全性を根本から脅かしています。

事後対応策：秘密鍵ローテーション、Trusted Execution Environment導入、基幹インフラ保全—0G Foundationの対応

セキュリティインシデント後、0G Foundationはネットワークのレジリエンスとセキュリティ強化のため、総合的な対応策を講じました。財団は直ちに漏洩した暗号鍵を無効化し、秘密鍵ローテーションの実施により不正アクセス防止と重要操作の継続的保護を確保しました。同時に、Trusted Execution Environment技術をネットワークアーキテクチャに統合し、外部脅威や内部脆弱性に対する防御を強化するハードウェア隔離型の安全領域での計算環境を構築しました。この実装は業界先進のセキュリティ対策の約60%に準拠しており、財団が実績ある保護策を積極的に導入していることを示しています。さらに、0G Foundationはゼロトラストアーキテクチャ原則のもと、基幹インフラを保全・強化し、ネットワーク参加者と通信に厳格な検証要件を設けました。これらの施策—秘密鍵ローテーション、TEE導入、ゼロトラストインフラ—が連携し、多層的なセキュリティ防御体制を構築しています。財団の事後対応は、ブロックチェーンセキュリティ要件への深い理解と、エコシステムの健全性維持への積極的な姿勢を示しています。

FAQ

0G cryptoとは？

0GはAIインフラの分散化を目指すモジュラー型Layer-1ブロックチェーンです。拡張性の高いストレージと検証可能なコンピュート機能を備え、効率的なオンチェーンAI運用とデータ管理を可能にします。

0G coinの現在の価値は？

0G coinは現在$1.13で、24時間の価格上昇率は32.15%です。24時間の取引高は169,412,303ドルに達し、0Gエコシステムへの強い市場関心と投資活動が見られます。

0G Labsの将来展望は？

0G Labsは、ユーザーが自身のAIモデルを独立して所有・管理・収益化できる環境の実現を目指し、Big Techへの依存を減らしながらグローバルなAI経済への参加を促進しています。