DeFiプロジェクトPickle Finance、20億円相当の仮想通貨DAIが不正流出

20億円相当のDAIが流出

分散型金融（DeFi）プロジェクトPickle Financeから、約2000万ドル相当（約20億円）の暗号資産（仮想通貨）DAIが流出したことがわかった。

Several aspects of the PickleJar controller have been patched.

This means that the PickleJars are now safe from the same attack vector . Deposits in other Jars may resume, but please refrain from depositing in the DAI Jar for now. A more detailed report will come shortly.

— Pickle Finance (🔄,🥒) (@picklefinance) November 22, 2020

この影響で、Pickle FinanceのPICKLEトークン価格は暴落。数時間で58％の価値を失った。

本日23日、Pickle Financeの公式アカウントは次のように知らせた。

Pickle Financeは、Yearn.financeと似たような仕組みで、さまざまなDeFiプロトコル間で資金移動させて利回りを最大化するイールドファーミングを提供する。「Jar（瓶）」とは、Compoundプロトコル（イーサリアム上の分散型レンディングプラットフォーム）を利用して作成された資金プールを指している。

pickle-finance-rektの解説によれば、Pickle Jarsは、本質的にYearnのyVaultのフォークであり、Jarは「コントローラー」と呼ばれるコントラクトによって制御されている。

関連: DeFi相場高騰の火付け役、イールドファーミングでは何が起こったのか｜特徴と熱狂の理由を解説

不正流出被害

Pickle Financeの報告によると、今回のハッキング被害は、ここ数ヶ月に頻発していた「フラッシュローン」を悪用したものではない。

2020年11月22日 03:37AM（日本時間）に、「pDAI PickleJar」がハッキング（不正流出被害）に遭い、19,759,355DAIが盗まれた。その直後、ホワイトハットハッカーのグループとPickleのチームが状況を把握するための作業を開始。

2020年11月23日 00:15AM（日本時間）には、Pickle FinanceGovernanceマルチシグウォレットに対して、ハッキングコードを取り消す機能が付与された。その1分後、ハッキングに使用されたプロキシロジックをコントローラーから削除することに成功した。

Pickle側のチームは、まず最初のステップとして、トランザクションをリバースエンジニアリング（解析）し、攻撃を複製するコードを記述できるかについて確認した。数時間後、チームはハッキングがどのように実行されたかを理解したという。

極めて複雑な攻撃で、Pickleプロトコルの多くのコンポーネントが関係していたが、現在のところ、DAI以外の他の仮想通貨がリスクにさらされることはないとしている。

識者によると、上図のように三段階にも及ぶ複雑な手口が用いられており、偽のJarと本物のJarをすり替えるものだった。

DeFi市場で相次ぐ不正流出被害

20年夏頃に急速に拡大したDeFiのエコシステムはまだ不完全な部分があり、ハッキングなど不正流出被害も相次いでいる。

最近の事例としては、Value DeFi、Harvest Finance、Akropolis、Balancerの不正流出被害があり、数百万ドル規模の被害をもたらした。

被害を受けたValue Defiはプライベートオラクルを放棄してChainlink（LINK）オラクルを導入した。今後も安全に対する意識や技術が高まっていけば、中長期的なセキュリティ施策の向上が期待できる。

ビットコインが高騰する中、一時落ち着いていたDeFi市場は再び活性化している。TVL（DeFiに預け入れられた仮想通貨の総価値）は上昇を続けており、DeFi Pulseによると、14日に過去最高を更新し、現在は143億ドル（約1兆4830億円）ほどに達した。

関連: 仮想通貨市場でDeFiの波再び、預け入れ総額は過去最高水準の1.4兆円に