DeFiプロトコル「Cream Finance」、147億円相当の仮想通貨が不正流出

DeFiで仮想通貨が不正流出

DeFi（分散型金融）の貸付サービスを提供する「C.R.E.A.M. Finance（以下、Cream Finance）」は28日、プラットフォームから暗号資産（仮想通貨）が不正流出したことを発表した。

その後の調査によって、攻撃者は協定世界時の27日、複数の銘柄で合計1.3億ドル相当（約147億円）を盗難したことが判明。Cream Finance側はすでに脆弱性を突き止め、対応を行っているとしており、現在は詳細の説明を準備中だとしている。

Our Ethereum C.R.E.A.M. v1 lending markets were exploited and liquidity was removed on October 27, 1354 UTC. The attacker removed a total of ~$130m USD worth of tokens from these markets, using this address: https://t.co/17sPIDpCmr
No other markets were impacted.
— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021

貸付（レンディング）とは

保有している仮想通貨を一定期間貸し出すことで、利息を得ることができるサービスのこと。コインチェックやbitbankなどの取引所や、Cream FinanceやAave、CompoundなどのDeFiプラットフォーム等がサービスを提供している。

▶️仮想通貨用語集

Cream Financeは、個人や企業らに向けて貸付サービスを提供。公式ウェブサイトによると、イーサリアム（ETH）、Binance Smart Chain（BSC）、Polygon、FantomのネットワークのユーザーがCream Financeを利用できる。

今回の攻撃で利用された手法は「フラッシュローン」だ。フラッシュローンとは、コードを書くなどの方法によって、同一のトランザクション内で借り入れから返済までを完了する取引を指す。攻撃に利用されることもあるが、本来は利用者にとって担保資産や利子が不要であるというメリットがある機能だ。

今回の被害でCream Financeはまず、日本時間の28日0時過ぎの時点で、「イーサリアムのブロックチェーン上の『C.R.E.A.M. v1』で不正流出が起き、状況を調査している」と報告。状況が分かりしだいすぐに公表するとしていた。その後、今朝5時過ぎに脆弱性の発見や被害額など、上述した内容を公表。現時点でイーサリアム以外のプラットフォームへの攻撃は確認されていないという。

Cream Financeは今年の2月にも3,750万ドル（約42億円）、8月には1,880万ドル（約21億円）のフラッシュローン攻撃を受けた。DeFiにおける不正流出などのデータを提供する『rekt』によると、今回盗難された1.3億ドルは、DeFi史上3番目に大きな被害額だ。

また、CoinPostの提携メディア『The Block』によると、DeFiのプラットフォームへの攻撃で盗難された資産の総額は、5億ドル（約570億円）を突破。以下のグラフは盗難額の推移だが、今回の被害額はまだ含まれていない。