新規プロジェクトがハッキングされる
暗号資産(仮想通貨)ファントム・ネットワークのDeFiプロトコル「Fantasm Finance」が9日、ハッキングを受け2億6200万ドル(約3億円)が流出したことが分かった。
URGENT ANNOUNCEMENT : Redeem your XFTM
— Fantasm Finance (@fantasm_finance) March 9, 2022
Our FTM collateral reserve has been exploited, there is still 1,820,012 FTM pool balance remaining currently for redemption.
Exploiter address:https://t.co/lVxIF3HMYI
We are looking into this right now, more details to follow immediately
緊急のお知らせ:XFTMを払い戻してください FTMの担保準備金が不正利用されました。プールには現在、払い戻し可能な182万12FTMの残高があります。・・・現在状況を調査中で、至急詳細をお知らせします。
Fantasm Financeはファントム・エコシステムの合成資産の開発と普及を目的とするDeFi(分散型金融)プロジェクトで、ファントム(FTM)の合成トークン「XFTM」は3月1日にローンチしたばかりだった。
XFTMをミント(鋳造)するためには、FTMとFantasmのネイティブ・トークンFSMの二つのトークンが必要になる。FTMとFSMの担保比率が定められるが、今回のハッキングで、この仕組みに脆弱性があったことが明らかになった。
関連:初心者でもわかる仮想通貨Fantom(FTM)とは|注目点と将来性を解説
ハッキングの経緯
Fantasm Financeは10日に公式声明を発表。ハッキングの原因分析と今後の対応を説明している。
ハッカーは三つのブロックチェーン(BNB、ファントム、イーサリアム)で、BNB、USDC、FTM、FSM、XFTM、ETHの五つのトークンを使用したことが判明。
悪用されたのは、Fantasmのプール契約における脆弱性だった。XFTMをミントするためにはFTMとFSMの両方が必要とされるが、当該契約では、FTMの最低限の必要量をチェックする条件が設定されていなかった。
そのため、ハッカーはFSMのみでXFTMトークンをミントすることが可能となり、入手したXFTMをFTMに交換することに成功。その後FTMをETHに交換し、プライバシープロトコル「Tornado Cash」を利用し、最終的に約1,008ETHが引き出される結果となった。
ユーザー補償と今後の予定
まず、全FSMファームで10日時点でFSMの提供が停止され、XFTMはミントできなくなる。これまでのFTM手数料は、3月11日よりFSMのステイカーやロッカーに分配される。
Fantasmチームは不正流出に気づいた時点で、プロトコルをホワイトハッキングして93万5,415FTMを入手したことから、これらのトークンはブロック高32970600のスナップショットに基づき、XFTMの保有者にエアドロップで還元される。
また、新たなトークンがローンチされるが、その際には上述したスナップショットに基づき、XFTMとFSMの保有者・流動性提供者、ステイカー、ロッカーにエアドロップで提供される予定。
今後、Fantasmチームは以下のような取り組みを行うという。
- プロトコルを再度立ち上げるとともに、DAOを立ち上げる
- ユーザーへの払い戻しを開始するために必要な手順を踏んでいく
- 監査会社と連携し、コードの脆弱性が修正されていることを確認する
- 調査結果をさらに深掘りするため、バイナンスをはじめとする外部関係者に働きかけ、協力を仰ぐ
Fantasmは「一般のDeFiユーザーに影響を及ぼしている」ことを鑑み、「正しいことをする」よう、ハッカーに呼びかけている。資金返還に応じた場合、10%のバグ懸賞金の支払いに応じる予定だという。
関連:仮想通貨ファントム、DeFiプロジェクトの開発者が撤退表明
