DeFiプロジェクトPickle Finance、20億円相当の仮想通貨DAIが不正流出

20億円相当のDAIが流出

分散型金融(DeFi)プロジェクトPickle Financeから、約2000万ドル相当(約20億円)の暗号資産(仮想通貨)DAIが流出したことがわかった。

この影響で、Pickle FinanceのPICKLEトークン価格は暴落。数時間で58%の価値を失った。

本日23日、Pickle Financeの公式アカウントは次のように知らせた。

PickleJarのコントローラー(コントラクト)は修復され、同様の攻撃をは防げる状態となった。Jarへの入金は再開可能であるが、DAIの入金は控えて欲しい。

Pickle Financeは、Yearn.financeと似たような仕組みで、さまざまなDeFiプロトコル間で資金移動させて利回りを最大化するイールドファーミングを提供する。「Jar(瓶)」とは、Compoundプロトコル(イーサリアム上の分散型レンディングプラットフォーム)を利用して作成された資金プールを指している。

pickle-finance-rektの解説によれば、Pickle Jarsは、本質的にYearnのyVaultのフォークであり、Jarは「コントローラー」と呼ばれるコントラクトによって制御されている。

関連: DeFi相場高騰の火付け役、イールドファーミングでは何が起こったのか|特徴と熱狂の理由を解説

不正流出被害

Pickle Financeの報告によると、今回のハッキング被害は、ここ数ヶ月に頻発していた「フラッシュローン」を悪用したものではない。

2020年11月22日 03:37AM(日本時間)に、「pDAI PickleJar」がハッキング(不正流出被害)に遭い、19,759,355DAIが盗まれた。その直後、ホワイトハットハッカーのグループとPickleのチームが状況を把握するための作業を開始。

2020年11月23日 00:15AM(日本時間)には、Pickle FinanceGovernanceマルチシグウォレットに対して、ハッキングコードを取り消す機能が付与された。その1分後、ハッキングに使用されたプロキシロジックをコントローラーから削除することに成功した。

Pickle側のチームは、まず最初のステップとして、トランザクションをリバースエンジニアリング(解析)し、攻撃を複製するコードを記述できるかについて確認した。数時間後、チームはハッキングがどのように実行されたかを理解したという。

極めて複雑な攻撃で、Pickleプロトコルの多くのコンポーネントが関係していたが、現在のところ、DAI以外の他の仮想通貨がリスクにさらされることはないとしている。

識者によると、上図のように三段階にも及ぶ複雑な手口が用いられており、偽のJarと本物のJarをすり替えるものだった。

DeFi市場で相次ぐ不正流出被害

20年夏頃に急速に拡大したDeFiのエコシステムはまだ不完全な部分があり、ハッキングなど不正流出被害も相次いでいる。

最近の事例としては、Value DeFi、Harvest Finance、Akropolis、Balancerの不正流出被害があり、数百万ドル規模の被害をもたらした。

被害を受けたValue Defiはプライベートオラクルを放棄してChainlink(LINK)オラクルを導入した。今後も安全に対する意識や技術が高まっていけば、中長期的なセキュリティ施策の向上が期待できる。

ビットコインが高騰する中、一時落ち着いていたDeFi市場は再び活性化している。TVL(DeFiに預け入れられた仮想通貨の総価値)は上昇を続けており、DeFi Pulseによると、14日に過去最高を更新し、現在は143億ドル(約1兆4830億円)ほどに達した。

関連: 仮想通貨市場でDeFiの波再び、預け入れ総額は過去最高水準の1.4兆円に

著者:A.Yamada

画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します