Haveno Exploit と RetoSwap Drain
カテゴリー
未分類

2026年05月20日に発生したHaveno/RetoSwapのインシデントにより、エスクロー口座から推定7,000 XMRが流出しました。何が起こったのか、それがMoneroスワップのセキュリティにどのような影響を与えるのか、そしてパススルー・スワップはどのように異なるのかを解説します。

2026年05月20日、セキュリティ研究者らは、HavenoベースのMonero DEXであるRetoSwapに対する脆弱性を指摘した。PeckShieldの初期推定では、オンチェーンのマルチシグエスクローから約7,000 XMRが流出したとされている(暫定値であり、修正される可能性がある)。これはMoneroプロトコルの障害ではなく、Moneroの上に位置するエスクローレイヤーにおけるスマートコントラクト型の障害である。

TL; DR: Haveno P2P Monero DEXのフォークであるRetoSwapが2026年05月20日に悪用されました。マルチシグエスクローに保管されていた資金が流出しました。Monero自体は影響を受けていません。この事件は、 コイン交換中にコインが置かれる場所 そして、それがどれくらいの期間続くのか、それが重要なセキュリティ上の問題だ。

2026年05月20日に何が起こったのか

RetoSwapは、BisqをモデルにしたモネロのオープンソースP2P取引所であるHavenoのコミュニティフォークです。これらのプラットフォームでの取引は、オンチェーンの2-of-2または2-of-3マルチシグエスクローを使用します。買い手、売り手、仲裁人がそれぞれ鍵を保持し、2者が署名すると資金が解放されます。

PeckShieldの2026年05月20日のスレッドによると、攻撃者がRetoSwapのエスクロー契約における署名順序の検証方法の欠陥を悪用し、一部のオープン取引エスクローから一方的に資金を引き出すことが可能になった。Havenoコアチームは同日、上流のHavenoリファレンスクライアントは影響を受けていないことを明確にする声明を発表した。このバグはRetoSwapのフォークに特有のものと思われる。

Moneroのネットワークステータスページには、チェーンレベルの異常は報告されていませんでした。ブロックは正常に生成され、リング署名セットは変更されておらず、Bulletproofs+検証も問題なく継続されました。損失はすべてアプリケーション層で発生しました。

これはモネロの障害ではなく、エスクロー層の障害である理由

人々が「モネロのセキュリティ」と呼ぶ3つの異なる事柄を区別する価値がある。

  1. プロトコルセキュリティ — リング署名、ステルスアドレス、Bulletproofs+、RingCT。こちらでは影響を受けません。
  2. ウォレットのセキュリティ — キー管理、シードフレーズ、ビューキー。ここでは影響を受けません。
  3. アプリケーション層セキュリティ ―取引所、スワップサービス、エスクロー契約、カストディソフトウェア。 この RetoSwapが失敗したのはまさにこの点だ。

マルチシグエスクローに基づくDEX型プラットフォームには、特有のリスクが伴います。コインが取引相手の署名を待ってエスクローにロックされている間は、コードにバグが存在する可能性のある契約の中にコインが保管されていることになります。迅速な取引であれば数分で済む場合もありますが、取引相手の応答が遅い場合は数時間から数日かかることもあります。この間、あなたを守るのはモネロではなく、エスクローの正確性です。

攻撃対象領域:コイン交換中に、あなたのコインはどこに保管されますか?

スワップアーキテクチャによって、保管期間は異なります。おおよそ次のようになります。

スワップアーキテクチャ 資金の所在 典型的なウィンドウ
中央集権型取引所(アカウントベース) 取引所のホットウォレット/コールドウォレット 無期限 ― 撤回するまで
マルチシグエスクロー(Haveno方式)を採用したP2P DEX オンチェーンマルチシグ契約 相手方によって数分から数日かかる場合がある。
アトミックスワップ(HTLCベース) 両チェーンにおけるHTLC契約 数分から1時間程度
パススルー型スワップアグリゲーター アグリゲーターの一時的なルーティングウォレット 通常、p50では約8分、p95では最大約30分かかります(GhostSwapの製品指標による)。

RetoSwap事件は、第二段階の出来事だった。エスクロー契約に資金が保管されていたが、その契約にバグがあり、資金が引き出せる状態になっていた。

これは、パススルー型スワップサービスの仕組みとは構造的に異なります。パススルー型モデルでは、サービスはオープンなエスクローポジションを保持しません。つまり、入金されたコインを受け取り、集約された流動性を経由してルーティングし、出力コインを転送します。保管期間は、通常、中央値で約8分、95パーセンタイルで最大約30分(GhostSwapの製品指標による)であり、数分から数日ではありません。モデルが異なれば、表面的な部分も異なります。

それはパススルーが 全ての場合においてより安全 どちらのモデルにも障害モードが存在する。問題は、その障害モードが異なり、RetoSwapの脆弱性はエスクロー契約モデルに特有のものだったという主張である。

Moneroユーザーが今週実際にすべきこと

  1. RetoSwapで未決済の取引があった場合 損失回復の手順については、RetoSwapの公式チャンネルをご確認ください。「返金サービス」を謳うダイレクトメッセージにはご注意ください。このような事案の後には必ずフィッシング詐欺が発生します。
  2. Haveno(RetoSwapではなく、リファレンスクライアント)を使用する場合 Havenoチームの2026年05月20日付の声明によると、アップストリームのクライアントには影響がないとのことです。とはいえ、最新リリースにアップデートすることをお勧めします。セキュリティ監査では、関連する問題がしばしば明らかになるからです。
  3. RetoSwapを使用する予定だった場合 しばらくお待ちください。チームが修正プログラムをリリースし、レビューを受け、エスクロー契約を再開する必要があります。それまでの間は、代替手段をご利用ください。
  4. あなたが管理するウォレットにXMRを保管している場合 — あなたには影響はありません。この脆弱性は、Moneroの基盤レイヤーや個々のウォレットには影響を与えていません。

GhostSwapのパススルーモデルの違い

GhostSwapは、本人確認(KYC)不要、非カストディアル型のスワップアグリゲーターです。アカウントもメールアドレスも不要です。資金はそのまま通過し、長期にわたるエスクロー口座には保管されません。

BTCをXMRに交換する場合 GhostSwapのBTC/XMRペアページ流れは以下のとおりです。

  1. 金額と受取先のXMRアドレスを入力してください。
  2. スワップ用に生成された入金アドレスにBTCを送金します。
  3. GhostSwapは、主​​要な仮想通貨市場から集約された流動性を通じて取引を行います。
  4. XMRはご指定の住所に届きます。平均所要時間は約8分、95%信頼区間は約30分です(現在の製品指標に基づく)。

エスクローポジションは存在せず、マルチシグによる相手方署名待ちもなく、2人の人間が調整している間資金を保持する契約もありません。これにより、RetoSwapを襲った特定の障害モードが排除されます。すべての障害モードが排除されるわけではありません。パススルーサービスには独自のリスク(ルーティングウォレットの侵害、流動性供給源の相手方リスクなど)がありますが、リスクプロファイルは異なります。

GhostSwapは、BTC、ETH、XMR、SOL、およびアルトコインネットワークにわたる1,600種類の通貨ペアをサポートし、集約された流動性に基づく変動金利価格を提供します。スワップ取引に本人確認(KYC)は不要です。

FAQ

Q:RetoSwapの脆弱性はMonero自体に影響を与えましたか?
A:いいえ。モネロのプロトコル、ネットワーク、ウォレットソフトウェアは影響を受けませんでした。今回の攻撃は、モネロ自体ではなく、モネロ上で動作するアプリケーション層コードであるRetoSwapのエスクロー契約ロジックを標的としたものでした。2026年05月20日のモネロネットワークステータスページによると、チェーンは終始正常に動作していました。

Q:Havenoは安全に使用できますか?
A:Havenoコアチームの2026年05月20日の声明によると、アップストリームのHavenoリファレンスクライアントは影響を受けておらず、バグはRetoSwapのフォークに特有のものと思われます。とはいえ、マルチシグ・エスクローDEXは設計上、エスクロー契約のリスクを伴います。最新のリファレンスクライアントを使用し、公式リリースチャネルに従い、取引サイズは待機期間を許容できる範囲に抑えてください。

Q: KYC不要のスワップアグリゲーターは、R​​etoSwapのようなDEXとどう違うのですか?
A:アーキテクチャ的には、DEXはオンチェーンのエスクロー契約を使用して、取引相手が署名するまで資金を保管します。GhostSwapのようなパススルー型スワップアグリゲーターは、入金されたコインを受け取り、集約された流動性を経由してルーティングし、出力を転送します。保管期間は、中央値で通常約8分、95パーセンタイルで最大約30分と短く、取引相手の署名に依存しません。アーキテクチャが異なるため、攻撃対象も異なります。

Q: エクスプロイトが発生した際に、RetoSwapで取引をしていた場合、どうすればよいですか?
A:損失回復の手順やホワイトハットファンドの詳細については、RetoSwapの公式アナウンスチャンネルをご確認ください。「回復」や「返金」サービスを提供するという一方的なダイレクトメッセージには返信しないでください。それらはほぼ間違いなくフィッシング詐欺です。保証金を預けている場合やエスクローに資金を預けている場合は、RetoSwapチームの公式チャンネルが唯一の信頼できる情報源となります。

RetoSwapが一時停止されている間の具体的な代替案については、以下を参照してください。 GhostSwapホームページのスワップウィジェット アカウント不要、本人確認不要、1,600ペアに対応。

BTC BTC
ETH ETH
ETH ETH
BTC BTC
BTC BTC
SOL SOL
ETH ETH
SOL SOL
BTC BTC
XMR XMR
ETH ETH
XMR XMR
SOL SOL
XMR XMR
XMR XMR
USDT USDT
USDT USDT
XMR XMR
XMR XMR
BTC BTC
BTC BTC
ZEC ZEC
ETH ETH
ZEC ZEC
SOL SOL
ZEC ZEC
ZEC ZEC
USDT USDT
USDT USDT
ZEC ZEC
ZEC ZEC
BTC BTC
ETH ETH
XRP XRP
BTC BTC
DOGE DOGE
DOGE DOGE
USDT USDT
BTC BTC
LTC LTC
SHIB SHIB
PEPPER PEPPER
PEPPER PEPPER
USDT USDT
SHIB SHIB
USDT USDT
ボンク ボンク
USDT USDT
WIF WIF
USDT USDT
ポップキャット ポップキャット
USDT USDT
DOGE DOGE
SHIB SHIB

最近の投稿