DeFiプロトコルFantasm Finance、3億円のハッキング被害

新規プロジェクトがハッキングされる

暗号資産(仮想通貨)ファントム・ネットワークのDeFiプロトコル「Fantasm Finance」が9日、ハッキングを受け2億6200万ドル(約3億円)が流出したことが分かった。

緊急のお知らせ:XFTMを払い戻してください
FTMの担保準備金が不正利用されました。プールには現在、払い戻し可能な182万12FTMの残高があります。・・・現在状況を調査中で、至急詳細をお知らせします。

Fantasm Financeはファントム・エコシステムの合成資産の開発と普及を目的とするDeFi(分散型金融)プロジェクトで、ファントム(FTM)の合成トークン「XFTM」は3月1日にローンチしたばかりだった。

XFTMをミント(鋳造)するためには、FTMとFantasmのネイティブ・トークンFSMの二つのトークンが必要になる。FTMとFSMの担保比率が定められるが、今回のハッキングで、この仕組みに脆弱性があったことが明らかになった。

合成資産

合成資産とは他の資産の価値と連動し、トークン化された資産。原資産を保有することなく、市場のエクスポージャーが得られる。

▶️仮想通貨用語集

関連:初心者でもわかる仮想通貨Fantom(FTM)とは|注目点と将来性を解説

ハッキングの経緯

Fantasm Financeは10日に公式声明を発表。ハッキングの原因分析と今後の対応を説明している。

ハッカーは三つのブロックチェーン(BNB、ファントム、イーサリアム)で、BNB、USDC、FTM、FSM、XFTM、ETHの五つのトークンを使用したことが判明。

悪用されたのは、Fantasmのプール契約における脆弱性だった。XFTMをミントするためにはFTMとFSMの両方が必要とされるが、当該契約では、FTMの最低限の必要量をチェックする条件が設定されていなかった。

そのため、ハッカーはFSMのみでXFTMトークンをミントすることが可能となり、入手したXFTMをFTMに交換することに成功。その後FTMをETHに交換し、プライバシープロトコル「Tornado Cash」を利用し、最終的に約1,008ETHが引き出される結果となった。

ユーザー補償と今後の予定

まず、全FSMファームで10日時点でFSMの提供が停止され、XFTMはミントできなくなる。これまでのFTM手数料は、3月11日よりFSMのステイカーやロッカーに分配される。

Fantasmチームは不正流出に気づいた時点で、プロトコルをホワイトハッキングして93万5,415FTMを入手したことから、これらのトークンはブロック高32970600のスナップショットに基づき、XFTMの保有者にエアドロップで還元される。

また、新たなトークンがローンチされるが、その際には上述したスナップショットに基づき、XFTMとFSMの保有者・流動性提供者、ステイカー、ロッカーにエアドロップで提供される予定。

今後、Fantasmチームは以下のような取り組みを行うという。

  • プロトコルを再度立ち上げるとともに、DAOを立ち上げる
  • ユーザーへの払い戻しを開始するために必要な手順を踏んでいく
  • 監査会社と連携し、コードの脆弱性が修正されていることを確認する
  • 調査結果をさらに深掘りするため、バイナンスをはじめとする外部関係者に働きかけ、協力を仰ぐ

Fantasmは「一般のDeFiユーザーに影響を及ぼしている」ことを鑑み、「正しいことをする」よう、ハッカーに呼びかけている。資金返還に応じた場合、10%のバグ懸賞金の支払いに応じる予定だという。

関連:仮想通貨ファントム、DeFiプロジェクトの開発者が撤退表明

24時間上昇率ランキング(国内)
24時間下落率ランキング(国内)
1週間上昇率ランキング(国内)
1週間下落率ランキング(国内)
時価総額ランキング(国内)

画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します