ステーブルコイン・プロトコル「Beanstalk」、230億円相当のハッキング被害

巨額の資金流出が発覚

イーサリアムベースのDeFiプロトコル「Beanstalk」がハッキングを受け、計230億円（1億8,200万ドル）の資金が不正流出したことがわかった。

Beanstalk suffered an exploit today.

The Beanstalk Farms team is investigating the attack and will make an announcement to the community as soon as possible.

— Beanstalk Farms (@BeanstalkFarms) April 17, 2022

セキュリティ企業PeckShieldは、不正流出発見当初、ツイッターでフラグを立て、ハッカーが2万4,830ETHと3,600万BEANを含む100億円超（8,000万ドル）を盗難したと発表。その後の調査で被害額はさらに拡大することとなった。

1/ The @BeanstalkFarms was exploited in a flurry of txs (https://t.co/PMsdP5dnJG and https://t.co/wyHe3ARZgU),
leading to the gain of $80+M for the hacker (The protocol loss may be larger), including 24,830 ETH and 36M BEAN.

— PeckShield Inc. (@peckshield) April 17, 2022

Beanstalkは、2021年10月に取引が開始された、イーサリアムベースの米ドルのステーブルコイン・プロトコル。安定性の供給には従来型の担保ではなく、分散型クレジットをベースしている。

ハッキング発覚後、1ドルにペグすべきBEAN価格は一時、0.06ドルまで大幅に下落（-94％）。執筆時現在、0.23ドル（-77％）で取引されている。

フラッシュローンを悪用

ハッキングが可能になった背景には、事件の前日に提出されたフラッシュローンに関する要件変更が関係しているようだ。Beanstalkのプロジェクトリーダーは以下のように述べている。

ハッカーは融資プラットフォームAaveのフラッシュローンを利用して、Beanstalkのガバナンストークン「Stalk」を大量に入手。このトークンによって付与されたBIPの議決権を使って、自身に利益をもたらすガバナンス案を素早く可決し、全てのプロトコル資金を引き出した。

Etherscanのデータによると、ハッカーはその後分散型取引所UniswapでDAI、USDC、USDTをイーサリアムと交換したほか、ミキシングサービス「トルネードキャッシュ（Tornado Cash）」を利用してマネーロンダリング（資金洗浄）を行った疑いがある。

なお、ブロックチェーンセキュリティ企業のOmniciaは、この事件後の分析を発表。その中で、ハッキングが起きたBeanstalkのスマートコントラクトのコードは、Omniciaによる監査終了後に、フラッシュローン要件が変更されたものだと指摘している。

Beanstalkチームは、現時点でユーザーに対する補償については明らかにしていない。

関連：Deus Financeなど複数のDeFiプロトコルで16億円超のハッキング被害