価格操作により不正に資金引き出し
CELOブロックチェーン上の暗号資産(仮想通貨)レンディングプロトコルMoola Marketは19日、同プロトコルから13億円(840万ドル)相当のトークンを不正に引き出したハッカーが、その資金の約93%を返金したと報告している。
We want to provide a detailed update on today’s incident and share our plan for safely restarting the @Moola_Market protocol. First off, we're buoyed by the fact that the majority of funds were recovered. This is good news for all users and means that the impact will be limited. https://t.co/JfglNlM2g3
— Moola Market 🐮 (@Moola_Market) October 19, 2022
経緯として、18日にハッカーがMoola MarketのネイティブトークンMOOの価格操作を行い、MOOを担保として、同プロトコルから大量の仮想通貨を不正流出させたことがある。
攻撃者は、MOOトークンの流動性が低いことにつけ込み、まずUbeswapと呼ばれる分散型取引所でMOOの価値を膨らませた。その後、価値が上昇したMOOトークンを担保として悪用し、cUSD、cEUR、CELOなど他の資産を大量に引き出した形だ。
Moola Marketのチームは、一時間以内にハッキングに気付き、すぐに状況の調査を開始し、法執行機関に連絡した。さらに、攻撃者に連絡を取るよう呼びかけた。すると、約10分後には攻撃者を名乗る人物からDMが届き、その人物が流出資金の大部分を保管する秘密鍵を持っていることが分かった。
Moola Marketが交渉した結果、この人物は資金の約93%を返還することに合意。資金をMoolaの管理者用マルチシグウォレットに返した格好だ。
返還に対する報奨金として、攻撃者には残り約7,800万円(51万8,000ドル)に相当する仮想通貨を手元に残すことが許可されている。なお、Moola Marketは、このハッカーが勧めに応じて未返却資金の一部をImpactMarketに寄付したと説明した。
ImpactMarketは、CELOネットワーク上のプロトコルで、慈善団体などが世界の経済的困難な人々にベーシックインカムを提供できるようにするサービスなどを展開している。
今後の対策
Moola Marketは、今後のハッキングに対する予防策も講じている。
具体的には、MOOトークンを担保とする際の清算基準などを引き下げ、MOOを事実上担保資産としては使用できないようにするガバナンス投票が進められているところだ。
Moola Marketは、現在同プラットフォームは一時停止している状態だが、この提案が承認された後には再開を検討できる見込みだと述べた。また、Moolaユーザーに与える影響を最小限に抑えるため、ハッカーから返金されなかった分の資金を回復させる方法も探っていくとしている。
Mango Marketsでも同様事例
最近、デリバティブ取引所Mango Marketsでも類似したハッキング事例があった。価格操作により170億円相当の仮想通貨が不正流出したものだ。この事件では、ハッキングを行った人物としてアブラハム・アイゼンバーグ氏が特定されている。
アイゼンバーグ氏は、価格オラクルを操作してMangoトークンの価格を3倍に膨らませることで、担保資産の価格を上昇させ、プロトコルから資金を引き出していた。この取引は合法的なものだったと主張している。
この事件では、アイゼンバーグ氏が不正に得た資金を返還する見返りとして、その40%以上を手元に保持することが許可された。この措置の正当性については業界から疑問の声も上がっている。
関連:170億円の不正流出を引き起こしたハッカー、「有益な取引戦略」と弁解
なお、最近の統計では2020年9月以降の2年間における不正流出事例の5割がクロスチェーンブリッジなどのDeFiプロトコルで発生したことが明らかになってきた。
関連:仮想通貨業界の不正流出事例、過去2年間の被害総額は7,700億円突破
