フィットネスアプリ「Sweatcoin（スウェットコイン）」で知られるSweat Economy（スウェットエコノミー）は30日、NEAR Protocol（ニアプロトコル）上で発生したエクスプロイトにより、同エコノミーを支えるトークン「SWEAT」が不正流出したことを明らかにした。なお、執筆現在ではすべてのユーザー資金が返還されており、エコシステム機能は通常運転に戻ったと報告している。

SWEAT保有者上位100アカウントが標的に、今後は法執行機関への報告と凍結資産回収へ

今回の攻撃では、SWEATトークンコントラクトに存在していた脆弱性が悪用された。攻撃者はこのバグを突いて、資金を自動的に抜き取るための不正プログラムを展開し、SWEAT保有者の上位100アカウントから資金を引き出した。

Web3セキュリティ企業Blockaidの報告によると、資金流出は29日13時36分（UTC、日本時間22時30分頃）頃に始まり、わずか約30秒の間で約137億SWEAT（日本円換算：約4.2億円）が抜き取られたという。

流出した資金は、レフ・ファイナンスやワームホール/ポータルブリッジを経由して移動。攻撃者は資金引き出し用の不正プログラムを使用し、最大で約177億SWEAT（日本円換算：約5.5億円）を管理していたとされる。このうちの一部はすでにNEARやUSDCへのスワップが確認されているという。

被害を受けて、スウェットエコノミーは速やかに対応に動いた。まずSWEATトークンコントラクトを停止して被害の拡大を防止。これと並行して、暗号資産取引所MEXCが攻撃者のアカウントを凍結し、レア・ファイナンスもSWEATの取引を一時停止したことで、NEARエコシステム全体で連携した封じ込めが進められた。

その後、修正済みのトークンコントラクトが再デプロイされ、影響を受けたすべてのユーザーへの資金返還が完了した。スウェットエコノミーは現在、SWEATおよびスウェットウォレットの運用が完全に正常化したとしている。

今後については、法執行機関へのインシデント報告を行うほか、MEXCと連携して凍結資産の回収を進めるという。あわせて攻撃の手口や経路などの技術調査や事後報告書の作成にも着手する方針だ。なお、包括的なセキュリティ監査を実施するため、現在はSWEATのスマートコントラクトを一時的に非公開としている。

今回の事例は、わずか30秒で供給量の6割以上が流出するというスマートコントラクトリスクの深刻さを改めて浮き彫りにした。一方、プロジェクト側や取引所、エコシステム関係者の迅速な連携によりユーザー資産が全額保全された点は、Web3領域における危機対応のあり方を示す事例と言えるだろう。

関連：USDC発行元サークル、不正資金670億円を凍結せず放置か＝調査レポート
関連：リゾルブで約8,000万USRが不正発行、約40億円相当が流出──USR価格は0.26ドルでディペッグ発生

※価格は執筆時点でのレート換算（1ドル＝160.2円）