Edgen Crypto·Nov 25 2025, 13:10Monadのエアドロップ申請ポータルにおける重大なセキュリティ上の欠陥により、攻撃者がユーザー資金を不正に流用しました。セッションハイジャックの問題として特定されたこの脆弱性により、悪意のあるアクターがトークン割り当てを自身のウォレットにリダイレクトすることが可能になり、少なくとも1人のユーザーに多大な金銭的損失をもたらし、プロジェクトの今後のメインネットローンチに暗い影を落としました。
Monadブロックチェーンの最近のエアドロップは、そのトークン請求ポータルの重大なセキュリティ脆弱性により、著しく混乱しました。この欠陥により、攻撃者はユーザーセッションを乗っ取り、割り当てられたMONトークンを自身のウォレットにリダイレクトすることができました。このエクスプロイトは、参加者に確認済みの金銭的損失をもたらし、特に1人のエアドロップファーマーが112,000ドルの全割り当てを失ったことが最も顕著です。この出来事は、エアドロップキャンペーンのセキュリティプロトコルに関する深刻な疑問を提起し、Monadの公開メインネットローンチに先立ち、プロジェクトの評判に潜在的な悪影響を及ぼす可能性があります。
問題の核心は、Monadエアドロップ請求ウェブサイトにおけるセッションハイジャックの脆弱性でした。セキュリティアナリストによると、このエクスプロイトにより、悪意のあるアクターはアクティブなユーザーセッションを傍受し、トークン請求の宛先ウォレットアドレスを変更することができました。重要なことに、システムはこの変更を確認するための二次検証や再認証を要求しなかったため、リダイレクトされた請求がシームレスに処理されることを許しました。
この脆弱性は、未知の量のMONトークンを意図した受取人から流用するために悪用されました。最も顕著に報告されたケースは、全額112,000ドル相当の割り当てが不正流用されたエアドロップファーマーに関わるものです。初期の報告では、資金は取引の失敗と高額なガス料金のために失われたと示唆されていましたが、その後の分析により、この損失がアドレスハイジャックエクスプロイトの直接的な結果であることが確認されました。
Monadにとって、このセキュリティ侵害は大きな打撃となります。289,000の適格アカウントに47.3億のMONトークンが提供されたエアドロップは、コミュニティを構築し、トークンの供給を分散させることを目的とした大規模な取り組みでした。請求プロセスを保護できなかったことは、プロジェクトの技術的実行と運用セキュリティへの信頼を損ないます。現在、請求されたすべてのトークンはメインネットローンチまでエスクローのスマートコントラクトに保管されていますが、この事件は不確実性と評判リスクをもたらします。
より広範には、この出来事はエアドロップに内在する運用リスクを明確に再認識させるものです。これらのキャンペーンがWeb3におけるユーザー獲得の主要なツールとなるにつれて、それらを標的とする攻撃の巧妙さが増す可能性が高いです。この事件は、他のプロジェクトに、請求ポータルの義務的な第三者監査や資金請求者のための多要素認証を含む、より厳格なセキュリティ対策を実施するよう促す可能性があります。
報告によると、セッションハイジャックメカニズムはポータルの設計における重大な欠陥でした。「Cos」と特定されたあるセキュリティアナリストは、エクスプロイトが攻撃者にユーザーのセッションを「乗っ取り」、ユーザーのさらなる介入なしにエアドロップをリダイレクトすることを許可したと公に述べています。さらに、ホワイトハットハッカーが以前にシステム内の脆弱性を発見し報告していたという示唆がありますが、それが最終的に悪用されたのと同じ欠陥であったかどうかは確認されていません。
この事件は、「エアドロップファーミング」(将来のトークン配布の資格を得るためだけにプロトコルと相互作用する行為)がますます競争的でリスクに満ちた市場環境で発生しました。参加者はすでに、高額な取引手数料や複雑な資格基準といった課題に直面しています。Monadエクスプロイトは、プロトコルレベルのセキュリティ障害という別のリスク層を追加します。これは、ユーザーがプロジェクトのコアスマートコントラクトだけでなく、そのウェブベースのインフラストラクチャのセキュリティも信頼しなければならないという重要な依存関係を浮き彫りにします。プロジェクトがユーザーを引き付けるためにエアドロップを使い続けるにつれて、プロセスのすべてのコンポーネントのセキュリティ基準は必然的にさらに厳しく精査されることになります。