DeFiプロトコルFantasm Finance、3億円のハッキング被害

新規プロジェクトがハッキングされる

暗号資産（仮想通貨）ファントム・ネットワークのDeFiプロトコル「Fantasm Finance」が9日、ハッキングを受け2億6200万ドル（約3億円）が流出したことが分かった。

URGENT ANNOUNCEMENT : Redeem your XFTM

Our FTM collateral reserve has been exploited, there is still 1,820,012 FTM pool balance remaining currently for redemption.

Exploiter address:https://t.co/lVxIF3HMYI

We are looking into this right now, more details to follow immediately

— Fantasm Finance (@fantasm_finance) March 9, 2022

Fantasm Financeはファントム・エコシステムの合成資産の開発と普及を目的とするDeFi（分散型金融）プロジェクトで、ファントム（FTM）の合成トークン「XFTM」は3月1日にローンチしたばかりだった。

XFTMをミント（鋳造）するためには、FTMとFantasmのネイティブ・トークンFSMの二つのトークンが必要になる。FTMとFSMの担保比率が定められるが、今回のハッキングで、この仕組みに脆弱性があったことが明らかになった。

関連：初心者でもわかる仮想通貨Fantom（FTM）とは｜注目点と将来性を解説

ハッキングの経緯

Fantasm Financeは10日に公式声明を発表。ハッキングの原因分析と今後の対応を説明している。

ハッカーは三つのブロックチェーン（BNB、ファントム、イーサリアム）で、BNB、USDC、FTM、FSM、XFTM、ETHの五つのトークンを使用したことが判明。

悪用されたのは、Fantasmのプール契約における脆弱性だった。XFTMをミントするためにはFTMとFSMの両方が必要とされるが、当該契約では、FTMの最低限の必要量をチェックする条件が設定されていなかった。

そのため、ハッカーはFSMのみでXFTMトークンをミントすることが可能となり、入手したXFTMをFTMに交換することに成功。その後FTMをETHに交換し、プライバシープロトコル「Tornado Cash」を利用し、最終的に約1,008ETHが引き出される結果となった。

ユーザー補償と今後の予定

まず、全FSMファームで10日時点でFSMの提供が停止され、XFTMはミントできなくなる。これまでのFTM手数料は、3月11日よりFSMのステイカーやロッカーに分配される。

Fantasmチームは不正流出に気づいた時点で、プロトコルをホワイトハッキングして93万5,415FTMを入手したことから、これらのトークンはブロック高32970600のスナップショットに基づき、XFTMの保有者にエアドロップで還元される。

また、新たなトークンがローンチされるが、その際には上述したスナップショットに基づき、XFTMとFSMの保有者・流動性提供者、ステイカー、ロッカーにエアドロップで提供される予定。

今後、Fantasmチームは以下のような取り組みを行うという。

• プロトコルを再度立ち上げるとともに、DAOを立ち上げる
• ユーザーへの払い戻しを開始するために必要な手順を踏んでいく
• 監査会社と連携し、コードの脆弱性が修正されていることを確認する
• 調査結果をさらに深掘りするため、バイナンスをはじめとする外部関係者に働きかけ、協力を仰ぐ

Fantasmは「一般のDeFiユーザーに影響を及ぼしている」ことを鑑み、「正しいことをする」よう、ハッカーに呼びかけている。資金返還に応じた場合、10％のバグ懸賞金の支払いに応じる予定だという。

関連：仮想通貨ファントム、DeFiプロジェクトの開発者が撤退表明