分散型取引所KyberSwapでフロントエンド攻撃、3,700万円が不正流出

KyberSwapにエクスプロイト

DeFi（分散型金融）プロトコルKyber Networkは2日、フロントエンド攻撃を受けたことを報告した。2つのユーザーアドレスから合計3,700万円（26万5000ドル）相当の暗号資産（仮想通貨）が奪われた。

約2時間の調査対応の結果、既に悪意のあるプログラム（エクスプロイト）は排除されている。Kyber Networkは被害者への全額補償を約束している。

1/ ❗️Notice of Exploit of KyberSwap Frontend:

We identified and neutralized an exploit on the KyberSwap frontend. Affected users will be compensated. We have summarized the details in this thread⬇️

— Kyber Network (@KyberNetwork) September 1, 2022

リリースによると、Kyber Networkの運営チームは、9月2日午前4時頃（日本時間）にマルチチェーン対応の分散型取引所KyberSwapのフロントエンドの異常に気づき、サービスを停止して調査を開始した。

その結果、Googleタグマネージャー（GTM）に不正なコードが埋め込まれ、攻撃者がユーザーの資金を移動できる「承認（Approval）」を挿入していた事が判明。チームはGTMを無効化し、悪意のあるスクリプトを削除したという。

悪意のあるスクリプトは、大口投資家のウォレットアドレスを待ち構えていたと見られている。Kyberチームは攻撃者のアドレスを公開しており、仮想通貨取引所やDeFiプロトコルに対して盗まれた資産を凍結するよう協力を要請している。

執筆時点、KyberSwapは正常通り稼働しているが、Kyberチームはユーザーに対して承認トランザクションに署名をする際に注意を払うよう助言している。また、以下の画像のような警告が表示された場合は取引に署名しないで、すぐに Kyberチームに問い合わせる必要がある。

関連：DeFi大手「Curve」でDNSハッキング被害の可能性　7,500万円相当のETHが不正流出か

承認（Approval）とは

dAppsを利用する場合、スマートコントラクトに対してユーザーのウォレット上の特定のトークンにアクセスし、移動することを許可する必要がある。

「Approve（承認）」トランザクションはその一つの手段だが、今回のようにフロントエンドが改ざんされて偽のコントラクトを埋め込まれると、詐欺の攻撃経路となってしまう。

主要な仮想通貨ウォレット「Metamsk（メタマスク）」ではトークン数量のアクセス上限を管理できるので、dAppsに必要以上な資産へのアクセスを許可したり、新しいプラットフォームを試す際に過剰なリスクを負わないよな心がけが推奨されている。

関連：Kyber DMMを1ヶ月で30倍成長させた流動性マイニング 「Rainmaker」とは｜Kyber Network寄稿