1,300ETHが流出
NFT(非代替性トークン)金融プラットフォーム「Omni」が10日、ハッキングを受け、約1,300ETH(2億円相当)が流出したことがわかった。セキュリティ企業PeckShieldが指摘した。
It seems a reentrancy-related hack. @ParallelFi @OMNI_xyz The stolen funds were just mixed via @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
— PeckShield Inc. (@peckshield) July 10, 2022
Omniは、NFT(非代替性トークン)を担保に暗号資産(仮想通貨)の融資を提供する金融プラットフォーム。人気NFTコレクション「Bored Ape Yacht Club(BAYC)」や「CryptoPunks」、「Doodles」などをステーキングすることで、イーサリアムをはじめとするERC-20トークンを借りることが可能だ。
Omniは公式声明で、同プロトコルはベータ版として試験運用中であり、顧客資金は失われていないと釈明。内部テスト用の資金が影響を受けたに留まるという。また、外部のセキュリティ・監査企業による調査と確認作業が完了するまで Omniプロトコルを停止するとした。
Statement:
— OMNI (@OMNI_xyz) July 10, 2022
1/ OMNI is still in a testing (beta). No customer funds were lost, only internal testing funds were affected!
We have suspended the OMNI protocol until we completed the investigation and have everything reviewed again by external security and auditing firms.
なお、PeckShieldが呼びかけた「ParallelFi」とは全く異なるチェーンで、関係はないことを強調した。
NFTとは
NFTとは、「Non-Fungible Token」の略称で、代替不可能で固有の価値を持つデジタルトークンのこと。ブロックチェーンゲームの「デジタルアイテム」交換などに用いられるのみならず、高額アート作品の所有権証明や、中古販売では実現の難しかった「二次流通市場」における権利者(クリエイター)への画期的な還元手段としても注目を集める。
▶️仮想通貨用語集
関連:Twitter投稿が3億円の価値に|大企業も注目する「NFT」の仕組みと可能性
脆弱性をつく
ブロックチェーンセキュリティ企業BlockSecによると、Omniへのハッキングは、スマートコントラクトの脆弱性をついたリエントランシー攻撃だった模様。
同社CEOのYajin Zhou氏は、ハッカーの手口を次のように説明した。
- DoodlesコレクションのNFTを担保に、wETH(ラップドETH)を借りる
- 一つのNFTを残し、すべての担保を引き出す
- この行為で不正なコールバック関数の実行が引き起こされる(脆弱性)
- ポジション精算前に融資されたwETHでさらにNFTを購入
- そのNFTを担保にさらにwETHを借り入れ
- Omniプロトコルはこの債務を認識しなかったため、ハッカーが借入金を返済せずにNFTを引き出す
Etherscanのデータによると、ハッカーはすでにミキシングサービス「Tornado Cash」を利用して、マネーロンダリング(資金洗浄)済みのようだ。
関連:ハッカーにも使用される大手ミキサー「Tornado.Cash」、制裁回避を防ぐツールを導入
