Helio Protocolで二次被害
暗号資産(仮想通貨)BNBを担保に発行する「ラップドBNB(aBNBc)」が、不正に発行されたAnkrプロトコル(ANKR)へのハッキング事件で、20億円規模の二次被害が明らかになった。
サイバーセキュリティ会社BlockSecによると、暴落したaBNBcを担保にHelio Protocolで1,640万HAY(21.5億円)が不当に引き出される二次被害が発生した。価格フィードの更新の隙を突かれたと見られ、取引履歴からは何者かが10BNB(40万円)で約18万3,000aBNBcを取得したことが分かっている。
Helio Protocolは、BNB関連資産を担保にステーブルコイン(HAY)を発行するDeFi(分散型金融)プロジェクト。aBNBcの価値は99.9%急落していたが、Helioが使用するオラクルのデータ更新よりも早く、攻撃者が資金を借り入れた。
3/ Step 4:
— BlockSec (@BlockSecTeam) December 2, 2022
The attacker then swapped 16,444,740 HAY to 15,504,986 BUSD. The 15 M BUSD is then transferred to 0x4c7f5513894a99260bbfcf88311b544d6ca12757 and then to Binance hot wallet. pic.twitter.com/IiOzekIRZ4
また、1,600万ドル相当のHAYがBinance USD(BUSD)に対して売却された影響で、HAYの価値は0.89ドルに低下して1ドルからの乖離(ディペッグ)が生じている(執筆時点)。BUSDは全て大手仮想通貨取引所Binanceに移されたが、同所CEOのChangpeng Zhao(CZ)氏によると、このうち300万ドル(4億円)分は差し押さえられている。
Possible hacks on Ankr and Hay. Initial analysis is developer private key was hacked, and the hacker updated the smart contract to a more malicious one. Binance paused withdrawals a few hrs ago. Also froze about $3m that hackers move to our CEX.
— CZ 🔶 Binance (@cz_binance) December 2, 2022
関連:バイナンスラボ、約6億円をDeFiプロジェクト「Ambit Finance」に出資
Ankrによる損失の補填
最初に攻撃のターゲットとされたのは、BNBチェーンなどでリキッド(流動的)ステーキングを提供するAnkrプロトコル(ANKR)。攻撃者は何らかの形でデプロイキー(コントラクトの管理鍵)を入手したと見られ、aBNBcのコードを悪質なものに更新して大量に発行した。
ブロックチェーンデータ閲覧サイト「BscScan」、及び分析機関Nansenによると千兆単位(6,000兆ドル)のaBNBcが発行されており、攻撃者はそのうち30億ドル相当(当時)を自身のウォレットに移した。
事態を受けて、Wombat Exchangeなど複数のDEX(分散型取引所)がaBNBcの取引を停止した。執筆時点にaBNBcの価値はゼロ扱いとされているが、その前に攻撃者はaBNBcをUSDCoin(USDC)などに交換し、結果的に500万ドル(6.7億円)相当の資産をイーサリアム(ETH)メインネットに移していた。
6/ The only users at risk were liquidity providers. We have started creating a list of the ones affected to make sure that we fully compensate them.
— Ankr (@ankr) December 2, 2022
Ankrは攻撃を受けたことを認め、攻撃者関連のアドレスからの入金への対応について、取引所と協力していると述べた。また、aBNBcと他の資産のセットで流動性提供(ロックアップ)をしていたユーザーについては、ハッキング被害に関連する損失の全額補填を約束している。
Ankrはまた、HAYのペグ回復を支援するために、不当なaBNBcを担保に発行されたHAYを、できるだけ多く購入し、バーン(焼却)する方針だ。
関連:三菱UFJ信託銀行ら、ステーブルコインの導入・普及に向けた実証検証へ
