DeFi取引ツールFurucomboに被害、攻撃手法は？

Furucomboでハッキング被害発生

分散型金融（DeFi）分野の成長に伴い、ハッキング攻撃も増加している。新たに被害を被ったのは、DeFiの多段階取引を簡単に作成できるツール、「Furucombo」で1500万ドル（約16億円）を超えるユーザー資金が引き出された。

Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021

「本日（28日）、協定世界時午後4：47に、Furucomboプロキシが攻撃者により侵入を受けた。我々は関連コンポーネントを無効化した。脆弱性にはパッチ適用が行われると思うが、念のため、ユーザーが承認を取り消すことを勧める。」

その後、Furucomboはハッキングの原因を突き止め、脆弱性を修正し、プラットフォームとユーザー資金の安全性は確保されたとツイートした。また被害を受けたユーザーに対する補償についても検討中とのことだ。

ハッキングの手法

Furucomboは、複雑なDeFiプロトコルを立方体に視覚化することにより、コード作成の知識なしで、ユーザーがDeFi取引を組み合わせることを可能にするツール。

仮想通貨メディアThe Blockのリサーチアナリスト、Igor Igamberdiev氏は、ハッカーは、偽の「Aave」スマートコントラクトを作成することで、Furucomboプロトコルに「Aave」の最新バージョン（Aave v2）が実装されたように見せかけたと指摘。同プロトコルにトークン送付の権限を与えていたユーザーの資金を、「Aave v2」とやり取りを通して、ハッカーのアドレスに送付させることに成功した。

Etherscanのデータによると、ハッカーのアドレスに1400万ドル相当の異なる仮想通貨が送金されたことが確認できる。しかし、ハッカーは匿名性確保のため、ミキサーであるTornade Cashにイーサリアム（ETH）を一括送金しており、Furucomboの発表によると、最終的な被害額は1500万ドルになった。

仮想通貨盗難の半分はDeFiハッキングに起因

仮想通貨データサイトCoinGeckoによると、2020年12月末の時点で、DeFiはイーサリアムの時価総額の23％にあたる198億ドルがロックされていた。2020年初頭の17億ドルから1000％以上増加したことになる。

仮想通貨分析企業Cipher Traceが発表した仮想通貨関連犯罪のレポート（2021年2月）によると、このように2020年に指数関数的な成長を遂げる一方で、規制整備が追いついていないDeFi分野は、「犯罪者を惹きつけ、1年間で過去最高のハッキング件数をもたらした」と指摘した。

Cipher Traceは、2020年の仮想通貨関連犯罪の73％は詐欺によるものだと発表しているが、残る盗難およびハッキングの半分以上がDeFiのハッキングで、被害額は1億2900万ドルに相当するという。

さらに、昨年最大の仮想通貨取引所KuCoin（中央集権型）のハッキング事件においても、ハッカーは分散型取引所Uniswapを利用して資金洗浄を行おうとしていたことが、明らかになっており、DeFiが犯罪に利用されるケースが増えていると、Cipher Traceは懸念を示した。CipherTraceは2020年の平均的なDeFiハッキング被害を約600万ドルと評価している。

今回のFurucomboのような、不正なスマートコントラクトを利用したハッキングは、これまでにもPickle Finance （被害額2000万ドル）やAlpha Finance（被害額3700万ドル）のケースが報告されており、技術的な知識を駆使した攻撃が発生しているようだ。