2025年9月8日、Kiln プラットフォーム上で不正な活動が確認されました。
本件の発表および予防措置として Ethereum バリデータの稼働を一時停止したことに続き、現在のサービス再開状況と、現時点での調査結果について追加の公的アップデートを共有いたします。
概要
調査の結果、攻撃の侵入経路は Kiln のインフラエンジニアが保有していた GitHub アクセストークンの漏洩であることが判明しました。攻撃者はこの認証情報を使って GitHub Actions CI のワークロードを実行し、Kiln のインフラ関連の資格情報を取得。
その後、これらの情報を悪用して Kiln Connect API のバックエンドコントローラを改ざんし、悪意のあるトランザクションを返すように変更しました。
このトランザクションを、Kiln のエンタープライズ顧客の1社がカストディソリューション上で署名した結果、資金の損失が発生しました。
なお、初期に特定された事案以外に、他の Kiln 顧客の資産流出・システム改ざん・悪意あるトランザクションの証拠は確認されていません。
Kiln はインシデント対応計画に基づき、ただちに活動を封じ込め、影響を受けた可能性のあるサービスを停止。また、影響の可能性があるバリデータキーのローテーションを開始しました。
現在、Kiln Enterprise Dashboard・dApp・Widget・DeFi・Kiln Connect API はすべて再稼働しており、新しい Ethereum バリデータのデプロイも可能です。これらの再開は、Sygnia 社および他のセキュリティパートナーとの詳細なセキュリティレビューおよびハードニングを経て行われました。
今回の攻撃は、すべての監査やペネトレーションテストをすり抜けるほどの 高度で巧妙な手法 が用いられていた点で特筆すべきものであり、国家レベルの攻撃手法に匹敵する現実を浮き彫りにしました。
この経験を通じて、Kiln は アイデンティティ管理、ネットワーク、ワークフロー、ワークロード、キー管理、監視といったあらゆる層でセキュリティを強化し、単なる復旧ではなく、より強靭な体制へと進化しています。
インシデントの詳細
2025年9月8日、Kiln プラットフォーム上で脅威行為者による不正な活動が検知されました。
当社は直ちに、サイバーセキュリティ企業である Sygnia と契約し、フォレンジック分析、封じ込め、そして修復(remediation)を実施しました。
調査の結果、攻撃の侵入経路は、Kiln のインフラエンジニアが保有していた GitHub access token の侵害であることが判明しました。悪意ある行為者は、当社の IaC(Infrastructure as Code)リポジトリ 内で CI/CD(Continuous Integration/Deployment)ワークフロー をトリガーするためにブランチを作成し、直ちに削除。これらのブランチは、大量のファイルを変更することでその存在を隠ぺいしていました。
トリガーされた CI ワークフローから、攻撃者はそこに保存されていた secrets およびクラウドの認証情報を収集し、これらの資格情報により、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、当社の bare-metal(オンプレミス)インフラ にまたがるクラウドサービスアカウントおよび本番環境システムへのアクセスが可能となりました。
さらに、脅威行為者は Kiln Connect API をホスティングしている稼働中の Kubernetes Pod に悪意のある payload を注入することで、Kiln API エンドポイントのロジックを改ざん。これにより、通常返される “deactivate stake” トランザクションに加えて、悪意のあるトランザクション が返されるようになっていました。
この悪意あるトランザクションは、POST コールで指定されたステークアカウント の既存の引き出し権限(withdrawal authority)が 150,000 SOL 以上 の残高を保持している場合に限り、その引き出し権限を変更するよう設計されていました。
Kiln の顧客の1社は、8月31日 に Kiln Dashboard を使用して SOL ステークアカウントの1つを unstake(解除) した際に直接的な影響を受けました。この悪意あるトランザクションは Kiln Dashboard から顧客の custody solution(資産管理システム) に転送され、顧客のカストディ環境内で設定された署名者の定足数(quorum)によって承認されました。
このような攻撃リスクを回避するために、Kiln はこれまでも一貫して、署名前にトランザクションを decode(デコード) してその完全性を確認することを推奨しています。これは、いわゆる「raw signing」トランザクションにおけるベストプラクティスです。
Kiln はこの目的のために デコードツール を提供しており、Kiln Dashboard および関連ドキュメントからリンクされています。トランザクションをデコードせずに署名・ブロードキャストすると、本件のように ステークアカウントの権限を失う 可能性があります。
現時点では、他の Kiln システムに対する改ざん、悪意あるトランザクション、または他の顧客における資金損失の証拠は確認されていません。
脅威行為者は、痕跡を残さないようにするため、永続的なファイルの書き込みを一切行わず、リポジトリ内のコードも、コンテナイメージやデータベースも変更しませんでした。
その代わりに、クラウド上の 短命なワークロード(short-lived workloads) 内で直接ステルス的なコマンドを実行していました。さらに、痕跡をより徹底的に隠すために、これらのコマンドは 数千の異なる IP アドレス から発行されていました。このようなアクセス手法に集中することで、攻撃者は検知されることなく活動することができました。
現時点では、従業員の GitHub access token がどのように侵害されたのかについての決定的な証拠は得られていません。
Kiln のインシデント対応
9月8日に不正な活動が検知された時点で、当社は インシデント対応ポリシー(incident response policy) を発動しました。
このポリシーには以下の対応が含まれています。
• 顧客、セキュリティパートナー、そして 法執行機関(law enforcement) との連携を開始しました
• 影響を受けた可能性のあるすべてのサービスを停止し、予防措置として、アクセスされた可能性のある validator key のローテーションを実施しました。
• 最初に特定されたインシデント以外に、他の顧客への影響、悪意のあるトランザクション、またはインフラへのその他の改変が存在しないことを評価・確認しました。
• 当社は Sygnia を主要なインシデント対応パートナーとして起用し、フォレンジック分析、封じ込め、除去、そして当社インフラ・アカウント・アクセスに対する 24時間365日の監視 を実施しました。
また、不正な実行(unauthorized executions) を検知するために、当社環境の監視を強化しました。
• すべての サービスアカウント(service accounts) を一時停止し、これらに関連する認証情報およびアクセスキーをすべてローテーションしました
• 侵害の兆候を確認するために、GitHub リポジトリ および ワークフロー の包括的なレビューを実施しました。
• すべての顧客および報道機関に対し、プレスリリース・ステータスページ・顧客向け一斉通知・電話連絡 を通じて情報を共有しました。
セキュリティは、これまでも、そして今後も Kiln にとって最優先事項(#1 priority) です。
Kiln は過去3年間にわたり SOC2 Type II 準拠 を維持し、定期的なインフラおよびソフトウェアのペネトレーションテスト、スマートコントラクトのセキュリティ監査、バグバウンティ、オンチェーンモニタリングプログラム、サイバーおよびスラッシング保険 などの対策を実施してきました。
これらの取り組みは security.kiln.fi で顧客と共有されています。
今回の攻撃よりもはるか以前から、暗号資産業界における脅威の増大と敵対的な性質を踏まえ、当社は SOC2 の要件を超える独自のセキュリティプログラム を策定していました。
このプログラムは今回のインシデントから得た知見によってさらに強化され、現在では、6つの主要な戦略的軸にわたり強化されたセキュリティ体制を実現しています。
これらは単に今回の攻撃で使用された手法を防ぐだけでなく、多層的で相互補完的な防御構造を構築し、今後のあらゆる攻撃に対して防御レベルを引き上げるものです。
- Zero-Trust Access Plane(ゼロトラストアクセスプレーン)アイデンティティに基づくアクセス制御を行い、予測可能かつ制御可能なネットワーク境界によって強制されます。
- 強化され、監査可能なパイプラインのみがインフラを変更できるようになっており、長期的なシークレットは存在しません。
- Blast-Radius Isolation(影響範囲の分離)および Least Privilege(最小権限)密なセグメンテーションと権限の最小化によって、横方向の移動(lateral movement)を防止します。
- Application および Container の Hardening(強化)不変(immutable)なワークロードと、実行時の整合性チェックにより、改ざんや悪用のリスクを軽減します。
- Continuous Monitoring and Response(継続的監視と対応)エンドポイント、クラウド、API は継続的にスキャン・ログ取得され、24時間体制のSOC(Security Operations Center) によって防御されています。
- Validator Key の保護 署名操作はプロトコルごとに分離され、強化されたワークロードを通じてキーが保護されています。将来的には confidential computing enclaves(機密コンピューティングエンクレーブ) および threshold-based signatures(しきい値署名) の導入も予定しています。
包括的なレビューおよび監査(audit)を経て、当社は Kiln Enterprise Dashboard、dApp、Widget、およびすべての Kiln Connect API を再び利用可能にする準備が整いました。また、新しい Ethereum validators のデプロイも再開可能となっています。
最後の一群のプロトコルは、10月6日の週に Enterprise Dashboard 上で再稼働 する予定です。
Kiln Onchain および Kiln DeFi は今回のインシデントの影響を受けず、期間中も常に利用可能な状態を維持していました。
また、Kiln Validators もインシデント期間中を通して稼働を続け、報酬を生成していました。
各サービスは、Sygnia およびその他のセキュリティパートナーと協力して実施された、詳細なセキュリティレビューおよびハードニング(強化)プロセスを経て再稼働しています。
当社はこれまで、そして現在も、status.kiln.fi 上でサービス再稼働に関する最新情報を継続的に共有しています。
安全を保つために
今回のインシデントは、特定の状況下にあった 1名の顧客のみに影響を与えた ものでしたが、すべてのユーザーの皆さまに重要なセキュリティ実践事項を改めてお伝えしたいと思います。
• 常に署名前にトランザクションをデコードしてください。
Kiln は署名前にトランザクションの完全性(integrity)を確認するための デコードツール を提供しています。
• 出金アドレスを確認してください。
送金先アドレスが、意図した受取人と一致していることを確認してください。
• セキュリティアップデートをフォローしてください。
当社の 公式コミュニケーションチャネル を通じて、常に最新情報を入手するようにしてください。
• 適切な署名クォーラム(signing quorum)を実装してください。
エンタープライズユーザーの皆さまは、高額トランザクション に対して複数の承認を必要とするよう、カストディソリューションを設定してください。
今後に向けて
弊社一同、この攻撃に対するご支援と対応をくださった お客様、セキュリティパートナー、Kiln チーム(Kilners)、そしてより広い暗号資産コミュニティ の皆さまに、心から感謝申し上げます。
エンタープライズ顧客様は、これからも Kiln と一緒に歩んでいく姿勢を変えずにいてくださっています。
当社は、十分な資本基盤を維持しながら、長期的なレジリエンス の確保に注力しています。
そして明確な最優先事項として掲げているのは、デジタル資産インフラのセキュリティ基準を引き上げ続けることです。
Above is a JP translation of our original blog post by Kiln Customer Team.
About Kiln
Kiln is the leading staking and digital asset rewards management platform, enabling institutional customers to earn rewards on their digital assets, or to whitelabel earning functionality into their products. Kiln runs validators on all major PoS blockchains, with over $11 billion in crypto assets being programmatically staked and running over 5% of the Ethereum network on a multi-client, multi-cloud, and multi-region infrastructure. Kiln also provides a validator-agnostic suite of products for fully automated deployment of validators and reporting and commission management, enabling custodians, wallets, and exchanges to streamline staking or DeFi operations across providers. Kiln is SOC2 Type 2 certified.
