Lodestar Financeにハッキング
DeFi(分散型金融)融資プラットフォームLodestar Financeは11日、ハッキング攻撃を受け約8.9億円(約650万ドル)が不正流出したと発表した。
プロトコルを復旧させる選択肢を探る間、すべての取引で金利をゼロに設定し、供給・借入残高が動かないようにするとしている。
Protocol was exploited and deposits have been drained. We have set all interest rates to 0 so that supply and borrow balances are not moving while we weigh recovery options. What we know right now:
— Lodestar Finance (💙,🧡) (@LodestarFinance) December 10, 2022
また、返金した場合報酬を与えるとして、ハッカーと交渉することも模索しており、ハッカー向けの連絡先アドレスを提示した。
Lodestar Financeはその後、事後報告として11日に事件の概要をまとめている。この時点では、まだ攻撃者は返金交渉に応じていない。Lodestar Financeは、イーサリアム(ETH)のレイヤー2ネットワークArbitrum(アービトラム)を土台とするプラットフォームである。
Lodestarのチームは、アービトラム上に構築されたplvGLPトークンのコントラクトから、回収可能な約2,720,000GLPを基礎として、資産の回収計画を立てる見込みだ。
この資金を、ハッカーとの交渉や預金者への返済のために利用できるようにする予定だとしている。また、ハッカーと連絡を取り、ユーザー資金の返金交渉を行う努力も続けていく。
Lodestarのチームは、各アカウントが被った損失を一覧するための実行スクリプトも完成させた。
度重なるフラッシュローン攻撃
今回の攻撃は、フラッシュローンを悪用したものだった。
フラッシュローンとは、即時(同一署名)返済を条件に暗号資産(仮想通貨)を無担保で借り入れる仕組み。スマートコントラクトでトランザクションが組まれ、瞬時に鞘取りを行う裁定取引などで使用される。
攻撃者は、フラッシュローンを使って大きなplvGLPの担保ポジションを作り、plvGLPのコントラクトにGLPを投入することで瞬時に価格を変化させた。その過程を繰り返し、本来許容される以上の額を借り入れて、plvGLPオラクルの価格を操作している。
Lodestarのチームは、オラクルの脆弱性を突かれたもので、オラクルの設計を徹底的に見直す必要があると報告した。今後、悪用されないためには、価格オラクルが同じブロック内で瞬時に変化することがあってはならないと述べている。
フラッシュローンを悪用した攻撃は近年たびたび目撃されている。借り入れた多額の資金で市場価格を歪ませ、融資プラットフォームから不当に資金を抜き取る手口だ。
9月には、アバランチ上のDeFiステーキングプラットフォーム「Nereus Finance」がフラッシュローン攻撃を受け、約7,200万円相当の損失を受けた。
関連:アバランチDeFiでフラッシュローン攻撃、Nereus Financeに7,200万円の損失
7月には、ソラナ(SOL)ネットワーク上の分散型取引所Crema Financeがフラッシュローン攻撃を受けた。この事例では、Cremaチームがハッカーと交渉。ハッカーは2.3億円相当の報酬と引き換えにして、12億円相当の仮想通貨を返却している。
関連:ソラナ上のDeFiプロトコル「Crema Finance」、盗まれた仮想通貨12億円相当を回収
