670億円相当の仮想通貨が不正流出か　DeFiで過去最大規模の被害額に

DeFiの巨額不正流出か

異なるブロックチェーンの相互運用を実現するプロジェクト「Poly Network」は、およそ6.11億ドル（約670億円）相当の暗号資産（仮想通貨）が不正流出した可能性があることを報告した。

すでに攻撃者のアドレスを特定して、マイナーや仮想通貨取引所に資産を凍結するように依頼している。暫定的な調査によると、Poly Networkのスマートコントラクトの脆弱性が悪用されたことが原因だと説明。DAIやUNI、WBTCなどDeFi（分散型金融）銘柄が多く含まれた今回の6億ドル超の盗難は、DeFi史上最大規模になると見られる。

Poly Networkは、種類に関わらず、複数のパブリックブロックチェーンを接続できる仕組みを開発し、次世代のインターネットのインフラを構築することを目指しているプロジェクト。すでにビットコイン（BTC）やイーサリアム（ETH）、ネオ（NEO）、オントロジー（ONT）などのブロックチェーンに対応しているという。今回攻撃の対象になったネットワークはイーサリアム、バイナンススマートチェーン（BSC）、Polygon（MATIC）だ。

攻撃が最初に報告されたのは、日本時間10日の午後9時30分ごろ。上述した3つのネットワーク上で、Poly Networkのプロトコルが攻撃を受け、ユーザーの仮想通貨が不正に送金されたと発表し、送金先のアドレスも公開した。その際、盗難された仮想通貨を移動できないようにブラックリストに入れるようバイナンスやコインベースらに呼びかけている。

Important Notice:
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker's following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71
— Poly Network (@PolyNetwork2) August 10, 2021

その後、午後10時過ぎに法的な措置をとることと犯人に資産を返却するように呼びかけることを報告。本日午前1時過ぎには、暫定的な調査によって、攻撃を受けた原因はスマートコントラクトの脆弱性にある可能性が高いことが分かったと発表した。

Poly Networkの発表の後は、ブラックリスト機能を持つUSDT（テザー）が資産を凍結したことを報告したり、バイナンスも対応を行なっていることを伝えるなど、現在も複数の関係者の協力を得て、対応・調査が続いている。

. @Tether_to just froze ~33M $USDt on 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 as part of the #PolyNetwork hack https://t.co/EviPTAkQJD
— Paolo Ardoino (@paoloardoino) August 10, 2021

犯人からのメッセージ

Poly Networkの公式ツイッターアカウントでは、犯人へのメッセージを記載したツイートを固定して表示。「今回盗難した資産の額はDeFiの歴史上、最も大きい。各国の法執行機関は犯罪とみなし犯人を追跡することになる」と伝え、これ以上トランザクションを行わず、仮想通貨を返却するように呼びかけた。

pic.twitter.com/Yzw4oDenjC
— Poly Network (@PolyNetwork2) August 10, 2021

今回の攻撃を行なった犯人は、盗難した資産の送金を行う際、トランザクションにメッセージを添付。そこには以下のように書かれている。

私が残りの草コインを移動すれば、今回の攻撃は10億ドル（約1100億円）規模になることが分かるだろう。これ以上の攻撃はしないでおいた。

お金にはあまり興味がないから、一部の仮想通貨を返金したり、今のままにしておこうかと考えている。

出典：Etherscan

今回の攻撃は現在も調査が継続しており、被害額もまだ流動的だが、2018年に国内の仮想通貨取引所コインチェックから不正流出した580億円を上回り、業界において過去最大規模の被害になる可能性がある。

草コインとは

草コインとは、特に時価総額が低くマイナーなアルトコインのこと。

▶️仮想通貨用語集

ハッカーが資金を返還か

ハッカーは日本時間11日12時48分に、イーサリアムのトランザクションに添付したメッセージで、資金を返還する意欲を伝えている。

出典：etherscan

PloyNetwork hacker: READY TO RETURN THE FUND. https://t.co/fJUlR6tHwC
— Wu Blockchain (@WuBlockchain) August 11, 2021

追記：ほぼすべての資金を返還済み

今回の事件でハッカーは盗んだ670億円超のうち、約630億円相当の資産をPoly Network側に返還した。

残りの36億円分のUSDT（3,300万ドル）はテザー社が緊急措置としてアドレスを凍結したため、ハッカーのコントロール外になっている。

ハッカーは資金の返還について、12日にAMA（質疑応答）を行い、「資金を返すのは最初から計画にあった」、「ハッキング自体はただ単に面白いからだ」と語っていた。

I like how the PolyNetwork Exploiter is having an AMA right now… what a ridiculous space. pic.twitter.com/FBQieZqdQW
— Sam MacPherson (@hexonaut) August 11, 2021