はじめての仮想通貨
TOP
新着一覧
チャート
学習-運用
WebX
巨額の資金流出が発覚
イーサリアムベースのDeFiプロトコル「Beanstalk」がハッキングを受け、計230億円(1億8,200万ドル)の資金が不正流出したことがわかった。
Beanstalk suffered an exploit today.
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
The Beanstalk Farms team is investigating the attack and will make an announcement to the community as soon as possible.
セキュリティ企業PeckShieldは、不正流出発見当初、ツイッターでフラグを立て、ハッカーが2万4,830ETHと3,600万BEANを含む100億円超(8,000万ドル)を盗難したと発表。その後の調査で被害額はさらに拡大することとなった。
1/ The @BeanstalkFarms was exploited in a flurry of txs (https://t.co/PMsdP5dnJG and https://t.co/wyHe3ARZgU),
— PeckShield Inc. (@peckshield) April 17, 2022
leading to the gain of $80+M for the hacker (The protocol loss may be larger), including 24,830 ETH and 36M BEAN.
Beanstalkは、2021年10月に取引が開始された、イーサリアムベースの米ドルのステーブルコイン・プロトコル。安定性の供給には従来型の担保ではなく、分散型クレジットをベースしている。
ハッキング発覚後、1ドルにペグすべきBEAN価格は一時、0.06ドルまで大幅に下落(-94%)。執筆時現在、0.23ドル(-77%)で取引されている。
フラッシュローンを悪用
ハッキングが可能になった背景には、事件の前日に提出されたフラッシュローンに関する要件変更が関係しているようだ。Beanstalkのプロジェクトリーダーは以下のように述べている。
Beanstalkは、BIPに賛成票を投じるStalkの割合を決定するにあたり、フラッシュローンに耐性のある手段を講じなかった。これが、ハッカーによってBeanstalkが利用される脆弱性となってしまった。
フラッシュローン(Flash Loan)
フラッシュローンとは、スマートコントラクトで実行される無担保の融資。対象資産のトークンについて借り入れと返済の処理を同一のトランザクション内で完了することが条件となる。
▶️仮想通貨用語集
ハッカーは融資プラットフォームAaveのフラッシュローンを利用して、Beanstalkのガバナンストークン「Stalk」を大量に入手。このトークンによって付与されたBIPの議決権を使って、自身に利益をもたらすガバナンス案を素早く可決し、全てのプロトコル資金を引き出した。
Etherscanのデータによると、ハッカーはその後分散型取引所UniswapでDAI、USDC、USDTをイーサリアムと交換したほか、ミキシングサービス「トルネードキャッシュ(Tornado Cash)」を利用してマネーロンダリング(資金洗浄)を行った疑いがある。
なお、ブロックチェーンセキュリティ企業のOmniciaは、この事件後の分析を発表。その中で、ハッキングが起きたBeanstalkのスマートコントラクトのコードは、Omniciaによる監査終了後に、フラッシュローン要件が変更されたものだと指摘している。
Beanstalkチームは、現時点でユーザーに対する補償については明らかにしていない。
関連:Deus Financeなど複数のDeFiプロトコルで16億円超のハッキング被害
