NEAR Protocol（ニア・プロトコル）基盤の分散型金融（DeFi）プロトコル「Rhea Finance（レア・ファイナンス）」は17日、同プロトコルが不正アクセス（エクスプロイト）を受けたことを公式Xで明らかにした。現地報道によると被害額は約760万ドル（約12億円）とされるが、公式発表では具体的な金額は明らかにされていない。攻撃者はUSDCUSDC、USDTUSDT、ZECZEC、NEARNEARなど複数の資産を引き出したとされる。

マージン取引機能の脆弱性が突かれる──Rhea Lendに被害集中

レア・ファイナンスの初期分析によると、攻撃者はマージン取引機能の脆弱性を悪用し、協調的なプール操作攻撃を実行した。ブロックチェーンセキュリティ企業サーティックは、攻撃者が偽のトークンコントラクトを作成し、新規の流動性プールに流動性を投入することで、オラクルとバリデーション層を欺いた可能性があると指摘している。

被害はRhea Lend（レンディング）のスマートコントラクトに限定されており、Rhea DEX（分散型取引所）のコントラクトは影響を受けていない。ただし、Rhea Lendの保護を目的として両コントラクトを一時停止している。リキッドステーキング製品のrNEARには影響がなく、停止もされていない。

チームは現在、資金の回収を積極的に進めており、攻撃に関与した当事者と残りの資金の返還について連絡を取っていると述べた。追跡対象のアドレスとして、イーサリアム上のアドレス（0xbb5fa936469cadb8907f3aef80f5b53f55bc11f6、残高約349万ドル）とNEAR上のアドレス（31ac7a…e724a540）を公開している。

大手セキュリティチームをフォレンジック調査、リアルタイムの資金追跡、戦略的な回収支援のために起用した。法執行機関にも通報済みで、適切な法的・捜査チャネルを通じて対応を進める方針だ。完全なインシデント分析は後日公表する予定としている。

※価格は執筆時点でのレート換算（1ドル＝159.3円）