DeFi基盤の取引所Opyn、4000万円相当の仮想通貨USDCが不正流出

DeFi脆弱性を悪用

分散型金融（DeFi）で仮想通貨のオプション取引を提供するOpynが、ETHプットオプションの脆弱性の悪用により、計371,260 USDC（約4000万円）が流出したと公式で伝えた。

Opynチームは緊急対応措置を行い、439,170 USDCの最終的な流出の阻止に成功。現在、問題の調査・対応を行なっており、371,260 USDCとして報告される損失額は、減る可能性もあれば、増える可能性もあるとしている。

公式発表では、Opynが提供するイーサリアムプットオプション以外の契約取引は影響されていないと説明。影響があった取引への対応については、「未行使イーサリアムプットオプションとして機能するoトークン（oToken）ホルダーの流動性を維持するため、公式で買い戻しを行う」とした。（oTokenとは、Opynが発行するオプションを代表するトークン）

その他、今後Opyn内のテスティングや監査手順などを再調整し、コードのバグバウンティプログラムの賞金を引き上げる対応策も講じるとしている。

経緯

問題の発覚は、Discordのユーザーから寄せられた報告だ。その後、攻撃者がOpynのオプションの脆弱性を利用していたことがイーサリアムのネットワークデータで確認された。

Opynの提供するイーサリアムプットオプションはUSDCで支払うが、当初、有識者は取引データをもとに攻撃者がUSDCだけでなく、ユーザーのETHも盗み取ったと考えていた。しかし、調査の途中経過を報告したOpynの公式発表ではETHの流出しておらず、現時点の被害額は439,170 USDCだと発表した。

OpynはすでにUniswapの流動性プールから退場しており、事件の調査を進めている。

＊最新情報

Opynは最新のツイートで、脆弱性が悪用されて被害がでたETHプットオプションの売り手に対し、全額補償する方針を発表した。これから3日以内により詳しい補償の方法を伝えるとした。

ETHプットオプションの買い手については、Discordでオプションの償還を行うことができる。

公式は、事件の調査等を行なっているため、ETHプットオプションの売買などの活動を行わないよう注意を促している。

Updates on today's exploit: we have the utmost respect & empathy for our early users & want to do right by our community. We will be reimbursing ETH put sellers in full who were affected by the vulnerability. We will have more details re reimbursement process in the next 3 days
— opyn² just launched squeeth crab (@opyn_) August 5, 2020