分散型取引所QuickSwap、3300万円相当の不正流出でレンディング市場を閉鎖

フラッシュローン攻撃

Polygon基盤の分散型取引所QuickSwapは24日、フラッシュローン攻撃により3,276万円（22万ドル）が不正流出したことを受け、レンディング市場「QuickSwap Lend」を閉鎖すると発表した。

⚠️QuickSwap Lend is closing⚠️

🔗$220k was exploited in a flash loans attack due to a vulnerability with the Curve Oracle, which @marketxyz was using

☣ Only the Market XYZ lending market was compromised. QuickSwap's contracts are unaffected

🪡🧵👇1/3 pic.twitter.com/oWNz7BAujT
— QuickSwap (@QuickswapDEX) October 24, 2022

QuickSwap Lendを閉鎖する。
MarketXYZが使用していたCurve Oracleの脆弱性により、フラッシュローン攻撃で22万ドルが搾取された。
なお、MarketXYZのレンディング市場のみが不正侵入されたにとどまり、QuickSwapの契約は影響を受けていない。

QuickSwapは、Qi DaoがMarket XYZ市場のシード資金を提供していたが、ユーザー資金の流出はなかったことを付け加えた。

フラッシュローンとは

即時（同一署名）返済を条件に仮想通貨を無担保で借り入れる仕組み。スマートコントラクトでトランザクションが組まれ、瞬時に鞘取りを行う裁定取引などで使用される。反面、借り入れた多額の資金で市場価格を歪ませ、融資プラットフォームから不当に資金を抜き取るなど悪用されるケースも多い。

▶️仮想通貨用語集

ブロックチェーンセキュリティ企業PeckShieldは、Curve Oracleの脆弱性は監査企業Chain Securityによって10月11日に開示されていたと指摘。価格操作の可能性があるとして、ステーブルコイン「miMATIC」（MAI）を発行するQi Daoに注意を喚起していた。

It is a price manipulation issue. The miMATIC market
uses CurvePoolOracle for price feed, which is manipulated to borrow funds from the market https://t.co/kDv10Zp2nz @market_xyz @QuickswapDEX @QiDaoProtocol https://t.co/muXdhubeJD pic.twitter.com/l5uWb5ynQQ
— PeckShield Inc. (@peckshield) October 24, 2022

これは価格操作の問題だ。miMATIC市場は価格フィードにCurvePool Oracleを使用しているが、これは市場からの資金借り入れのために操作されている。

PeckShieldの分析によると、ハッカーは価格操作によりトークンの価格を高騰させ、多額の資金を借入れた後、資金をイーサリアムに換え、さらにミキシングサービスTornade Cashを使用したようだ。

一方、Qi Daoは、同プロトコルのスマートコントラクトは、今回の攻撃には全く影響を受けていないと説明。またオラクルとしてはChailinkの価格フィードのみを使用しているため、MAIは価格操作されていないと強調した。

We want to reiterate that the recent exploit on the @market_xyz lending market on @0xPolygon is completely unrelated to QiDao smart contracts.

A highlight of how QiDao & $MAI avoid issues with collateral assets👇

– Risk Management
– New asset onboarding process
– Oracles
— Qi Dao (@QiDaoProtocol) October 24, 2022

相次ぐDeFiのハッキング被害

ブロックチェーン分析企業チェイナリシスは、2022年は昨年を抜いて歴史上最大のハッキングの年になりそうだと予測している。

2022 is likely to surpass 2021 as the biggest year for hacking on record. Check out this session from @EFDevcon to learn how:
💻these hackers operate
🔎we investigate the flow of funds to try to disrupt attacks
💪the #web3 community can helphttps://t.co/NWmCTM6Geq #Devcon https://t.co/RsX6R3qQKE
— Chainalysis (@chainalysis) October 24, 2022

1月から合計すると13日時点で、125のハッキングで約4,400億円（30億ドル）以上が不正流出したが、攻撃のターゲットが大きく変化しているとチェイナリシスは指摘。現在では主に分散型金融（DeFi）プロトコルが狙われているという。具体的には2020年に全体の約30％だったDeFiへのハッキングは、2021年には70％に急増。さらに2022年はすでに約90％がDeFiをターゲットをしたものだったことが明らかになっている。

中でも今月のDeFiへのハッキング攻撃件数は格段に多い。月半ばまでですでに11件に達していたが、その後もレンディングプロトコルMoola Marketsと今回のQuickSwapで不正流出事件が発生。被害総額は今月だけで1,000億円以上に達している。

関連：チェイナリシス、仮想通貨分野のハッキング「10月は過去最大規模」

また、仮想通貨分析サイトToken Terminalによると、DeFi領域における2年間の通算被害総額は約7,700億円（51億ドル）に達したこと明らかになった。そのうちの約半分に当たる3,700億円（25億ドル）相当は、Ronin NetworkやWormholeなどのクロスチェーンブリッジを標的にしていたことが確認されたという。

チェイナリシスも、クロスチェーンブリッジが主な攻撃のターゲットとなっている状況を伝えている。10月には三つのブリッジが攻撃を受け約890億円（約6億ドル）が盗まれた。この被害額は10月の流出額の82％、年間流出額の64％を占める結果となった。（10月13日現在のデータ）

関連：仮想通貨業界の不正流出事例、過去2年間の被害総額は7,700億円突破