NFT金融プラットフォームOMINI、脆弱性を悪用され2億円相当のハッキング被害か

1,300ETHが流出

NFT(非代替性トークン)金融プラットフォーム「Omni」が10日、ハッキングを受け、約1,300ETH(2億円相当)が流出したことがわかった。セキュリティ企業PeckShieldが指摘した。

Omniは、NFT(非代替性トークン)を担保に暗号資産(仮想通貨)の融資を提供する金融プラットフォーム。人気NFTコレクション「Bored Ape Yacht Club(BAYC)」や「CryptoPunks」、「Doodles」などをステーキングすることで、イーサリアムをはじめとするERC-20トークンを借りることが可能だ。

Omniは公式声明で、同プロトコルはベータ版として試験運用中であり、顧客資金は失われていないと釈明。内部テスト用の資金が影響を受けたに留まるという。また、外部のセキュリティ・監査企業による調査と確認作業が完了するまで Omniプロトコルを停止するとした。

なお、PeckShieldが呼びかけた「ParallelFi」とは全く異なるチェーンで、関係はないことを強調した。

NFTとは

NFTとは、「Non-Fungible Token」の略称で、代替不可能で固有の価値を持つデジタルトークンのこと。ブロックチェーンゲームの「デジタルアイテム」交換などに用いられるのみならず、高額アート作品の所有権証明や、中古販売では実現の難しかった「二次流通市場」における権利者(クリエイター)への画期的な還元手段としても注目を集める。

▶️仮想通貨用語集

関連:Twitter投稿が3億円の価値に|大企業も注目する「NFT」の仕組みと可能性

脆弱性をつく

ブロックチェーンセキュリティ企業BlockSecによると、Omniへのハッキングは、スマートコントラクトの脆弱性をついたリエントランシー攻撃だった模様。

リエントランシー攻撃とは

スマートコントラクトに何度も入り(エントリー)、被害対象のアカウントから送金などの操作を繰り返すもの。

▶️仮想通貨用語集

同社CEOのYajin Zhou氏は、ハッカーの手口を次のように説明した。

  1. DoodlesコレクションのNFTを担保に、wETH(ラップドETH)を借りる
  2. 一つのNFTを残し、すべての担保を引き出す
  3. この行為で不正なコールバック関数の実行が引き起こされる(脆弱性)
  4. ポジション精算前に融資されたwETHでさらにNFTを購入
  5. そのNFTを担保にさらにwETHを借り入れ
  6. Omniプロトコルはこの債務を認識しなかったため、ハッカーが借入金を返済せずにNFTを引き出す

Etherscanのデータによると、ハッカーはすでにミキシングサービス「Tornado Cash」を利用して、マネーロンダリング(資金洗浄)済みのようだ。

関連:ハッカーにも使用される大手ミキサー「Tornado.Cash」、制裁回避を防ぐツールを導入

24時間上昇率ランキング(国内)
24時間下落率ランキング(国内)
1週間上昇率ランキング(国内)
1週間下落率ランキング(国内)
時価総額ランキング(国内)

画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します