アバランチDeFiでフラッシュローン攻撃、Nereus Financeに7,200万円の損失

Nereus Financeでフラッシュローン被害

アバランチ上のDeFi（分散型金融）ステーキングプラットフォーム「Nereus Finance」は、6日にフラッシュローン攻撃を受けたことを発表した。

約7,200万円（50万ドル）相当の不良債権が生じたが、既にトレジャリーから損失を補填したという。

We are aware of a flash loan exploit on the AVAX/USDC Joe LP NXUSD market. This incident is isolated to a single collateral market and the NXUSD protocol as a whole remains over colateralised. We are executing a recovery process and will be publish a post-mortem shortly.
— Nereus Finance🔺 (@nereusfinance) September 7, 2022

「フラッシュローン」とは、即時（同一署名）返済を条件に仮想通貨を無担保で借り入れる仕組み。スマートコントラクトでトランザクションが組まれ、瞬時に鞘取りを行う裁定取引などで使用される。反面、借り入れた多額の資金で市場価格を歪ませ、融資プラットフォームから不当に資金を抜き取るなど悪用されるケースも多い。

Nereusによると、直接の原因は新設されたばかりの「AVAX/USDC Trader Joe LPトークン」を担保に、Nereusの独自ステーブルコイン（NXUSD）を貸し出す金庫にある。価格計算に「時間加重平均」が考慮されてないため、操作に脆弱だった。

ブロックチェーン上の履歴によると、攻撃者はレンディングプロトコルAAVEからUSDCを借入れた。その後、分散型取引所Trader JoeでAVAX＋USDCのLPを作成。一方でアバランチ（AVAX）を大量に購入し価格を吊り上げて売却する間に、NereusでNXUSDを借入れ、CurveでUSDCに交換した。

暗号資産（仮想通貨）セキュリティ企業CertiKの調査によると、攻撃者は裁定取引の結果、約5,300万円（37万ドル）相当の米ドル連動型ステーブルコインUSDCoin（USDC）の収益を得たと見られている。

#CertiKSkynetAlert🚨

CertiK Skynet has reported a #flashloan attack on #AVAX impacting contract 0xe767c… & some LPs. The attacker profited ~$370k USDC.

Possible impacted protocols include:@nereusfinance @traderjoe_xyz @CurveFinance
Contact us for analysis.

Stay Frosty!☃️ pic.twitter.com/bZvtgVPpl4
— CertiK Alert (@CertiKAlert) September 7, 2022

Certikが検出

その後、37万ドル相当のUSDCはアバランチ・ブロックチェーンからイーサリアム（ETH）チェーンに移動。194 ETH（31万ドル）と15,800 DAI（1万5,800ドル）に交換され、攻撃者と同じアドレスのイーサリアム版に移された。

さらに攻撃者は180ETHを4つのアドレス（45ETHずつ）に分配。最終的にライトニングネットワーク上の取引所FixedFloatに移動しており、現金化したようだ。執筆時点に、該当するETHアドレスには約400万円（12ETHと15,800DAI）のみが残されている。

この攻撃は、CertiKのオンチェーンセキュリティソフトウェア「Skynet」によって検出された。

世界4大会計事務所のひとつKPMGは先日、仮想通貨市場への投資は今後よりインフラ分野に集中していくと予想。特に、コンプライアンスや取引のトレーサビリティに関連する製品への注目が高まっていると報告した。

DeFi（分散型金融）市場が拡大・多様化する一方で、ハッキングによる資産の不正流出事例は後を絶たない。7月には、ソラナ（SOL）ネットワーク上の分散型取引所Crema Financeがフラッシュローン攻撃で約12億円（900万ドル）相当のトークンがプラットフォームから盗まれた。その後、バグバウンティ報酬として約2.3億円（170万ドル）をハッカーに支払う条件付きで資金を回収した。