テスト中のプロジェクトから流出
構築中のブロックチェーンプロジェクト「eminence.finance」のコードの脆弱性が利用され、計1500万ドルに相当するステーブルコインDAIが流出したことがわかった。(29日 10:00〜10:30に発生)
Oh my… 8mm DAI sent back to the yearn deployer!?
— BlueKirby.eth // YFI 🔥 (@bluekirbyfi) September 29, 2020
what's happening @AndreCronjeTech 🧐https://t.co/zLmpkmRFib
eminence.financeは人気DeFi(分散型金融)アグリゲーターyearn.financeの創設者Andre Cronjeが新たに立ち上げたプロジェクトだ。プロジェクト自体は正式ローンチ前の段階だった。
流出を受け、ガバナンストークンEminence(EMN)の価格は、0.01ドルから0.0001ドルまで急落。投資家やコミュニティメンバーに不安が蔓延した結果、Andreに関連する「YFI」トークンまで売られる事態となった。
出典:Uniswap
事件の経緯
プロジェクトを担当するAndreは脆弱性による流出について、SNSで説明を行なった。
1/x First, the data;
— Andre Cronje (@AndreCronjeTech) September 29, 2020
1. Yesterday we finished the concept behind our new economy for a gaming multiverse. Eminence. As per my usual methodology, I deployed our staging contracts on ETH so we can continue developing on it.
2. Eminence is at least ~3+ weeks still away
説明によると、昨日ゲームにおけるエコシステムのコンセプトを完成させ、実際の開発のためにイーサリアムでスマートコントラクトを稼働させ、SNSでゲームのグラフィックデザインなどを部分公開していた。
しかしその後、コントラクトに先んじて入金された計1500万ドルに相当する資金を無担保融資である「フラッシュローン」の脆弱性を悪用されて引き出され、うち800万ドル分がAndreに送られたという。
800万ドルの資金はハッキング前のスナップショット記録に応じて、所有者たちに返還する予定だ。
As I am receiving a fair amount of threats, I have asked yearn treasury to assist with refunding the 8m the hacker sent. The multisig is safer and as such I feel more comfortable with them having the funds. Funds will be returned to holders pre-hack snapshot. https://t.co/wbputn5hYD
— Andre Cronje (@AndreCronjeTech) September 29, 2020
ゲーム開発自体はこれからも継続し、ローンチまで3週間以上かかる見通しとしている。
未完成コードのリスク
なぜ、未公開のゲームでありながら大金が入金されたのか、デリバティブ取引所FTXのCEOを務める、通称SBFは、次のように分析を行なった。
1) Alright so here's what I gather happened with EMN:@AndreCronjeTech was working on a new protocol. It was still in the testing phase, not ready to be released, in case e.g. it had bugs. He hadn't yet vetted it.
— SBF (@SBF_Alameda) September 29, 2020
It did, in fact, have an exploit https://t.co/lvvfhnm2OQ
YFIトークンは、AndreのDeFiプロジェクト第一弾として大成功を収めたため、多くの投資家はDeFiセクターでの信頼を得ているAndreの次のプロジェクトを望んでいた。
今回の件は、Andreが正式告知する前に、一部投資家がeminenceのページやコードを発見。FOMO(取り残されることへの恐れ)心理でEMNを買い漁り、Uniswapの流動性プールに大量の資金を投じたことが背景にある。
これまでYam(芋イールドファーミング)などでも起きていたように、テストが済んでいないスマートコントラクトには脆弱性が存在するリスクが高い。教訓として、安全なコードが証明されるまで大量の資金を入金することは推奨されない。
