Fei Protocolから100億円以上が不正流出　資金プールにハッキング　

100億円以上の仮想通貨が流出

DeFiセキュリティ企業BlockSecは4月30日、Fei ProtocolとRari Capitalに関連する複数の資金プールがハッキングされ、約104億円（8,000万ドル）の暗号資産（仮想通貨）が不正流出したと報告した。

DeFiのためのステーブルコインFEIを提供するFei Protocolは、Rari Capitalのレンディングプール「Rari Fuse」を利用していたが、このプールにハッキングがあったものとみられる。Fei Protocolは、本件について次のようにツイートしている。

We are aware of an exploit on various Rari Fuse pools. We have identified the root cause and paused all borrowing to mitigate further damage.

To the exploiter, please accept a $10m bounty and no questions asked if you return the remaining user funds.

— Fei Protocol (@feiprotocol) April 30, 2022

ハッカーに対して、ユーザー資金を返せば報酬を約束すると述べた格好だ。

また、Rari Capitalも同様の内容を投稿。現在プロジェクト関係者が、セキュリティの専門家と共に、今回のハッキングについて調査しているところだと報告している。

We have identified an exploit on Fuse Arbitrum, and borrowing has been disabled as we continue to investigate.

Updates will continue to be shared. https://t.co/usL0afFfeT

— Rari Capital (@RariCapital) May 1, 2022

フラッシュローンを悪用

BlockSecはこの件について、リエントランシー攻撃が行われたと分析した。この攻撃は、スマートコントラクトに何度も入り、送金操作などを繰り返すものである。

仮想通貨についてのセキュリティ情報を提供するCertiKによると、今回の攻撃はフラッシュローンを利用したものだったという。ハッカーはリエントランシー攻撃により、Fei Protocolの設計上の欠陥を利用。資産を借りながら、そのために預けた担保を引き出すことに成功した。

CertiKはさらに、攻撃者が不正に得た利益を自分のアドレスに送金し、その資金の一部をプライバシープロトコル「Tornado Cash」で資金洗浄したと分析している。

こうした手口のハッキングはDeFiで相次いでおり、3月にはDeus Financeや、Agave、Hundred Financeでも同様の資金流出が報告されていたところだ。

これら一連のハッキングで、フラッシュローンが悪用され、資金が搾取されていた。Deus Financeの件では、資金洗浄に今回同様「Tornado Cash」が使われたことも指摘されている。

関連：Deus Financeなど複数のDeFiプロトコルで16億円超のハッキング被害

#CertiKStatsAlert🚨

2022 has been a busy year for hackers & scammers w/ flashloans taking a lead in April for total losses at ~$301,496,742.

Exit scam losses were ~$6,319,850.

Combining all major incidents we come in at ~$376,736,790 lost to exploits, hacks & scams for April. pic.twitter.com/3taARSnMVg

— CertiK Alert (@CertiKAlert) May 1, 2022

CertiKは、22年4月にはフラッシュローンを悪用した攻撃が多く、被害額は約390億円（3億ドル）以上に上ったと報告した。詐欺やハッキングによる4月の被害額約490億円（約3.8億ドル）の大半を占めていたことになる。