分散型取引所SushiSwapで4億円相当のハッキング

不正流出資金の一部は回収済

ブロックチェーンセキュリティ企業PeckShieldは9日、分散型の暗号資産（仮想通貨）取引所SushiSwap（SUSHI）から不正に資金が流出していると知らせた。現在、SushiSwapのチームはその一部を回収している。

It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.

If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!

One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023

PeckShieldによると、RouterProcessor2コントラクトで承認（Approve）に関連するバグが悪用され、少なくとも1アカウントが約4.4億円（330万ドル）相当の損失を被った可能性がある。

PeckShieldおよび、SushiSwapの責任者Jared Grey氏は、もしこの取引を承認してしまった場合デジタル資産（資金）が盗まれる恐れがあるため、すぐに「Revoke」する（取り消す）よう呼びかけている。

関連：Web3ウォレットMetamask　利用上の注意点を解説

RouterProcessor2というコントラクトは、イーサリアム（ETH）、BNBチェーン（BSC）、ポリゴン（MATIC）、アバランチ（AVAX）、ファントム（FTM）と複数チェーンで展開しており、このすべてのチェーンで、承認取り消しを求めた形だ。

only users impacted by sushiswap hack should be those that swapped on sushiswap in the last 4 days, if you did so revert approvals asap or move your funds in affected wallet to a new wallet
— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023

DeFi（分散型金融）のデータやアグリゲータを提供するDeFi Llamaの開発者0xngmi氏は次のように述べている。

いくつかのチェーンでは、問題のコントラクトは最大2週間展開されていた。過去2週間のSushiswapにおけるコントラクト承認は、すべてリスクがあると考えるのが一番安全だ。

該当するコントラクトの承認を取り消すか、関係するウォレットから資金を他のウォレットに移すことを推奨する格好だ。0xngmi氏は、承認を取り消すべきコントラクトの一覧も示している。

🚨 Some positive news following the RouteProcessor 2 approval bug.

Sushi's secured a large portion of affected funds in a whitehat security process.

🔍 If you performed a recovery please contact security@sushi.com for next steps.
— Sushi.com (@SushiSwap) April 9, 2023

その後、SushiSwapは、ホワイトハットのセキュリティプロセスにより、不正流出した資金の多くの部分を回収することに成功したと発表。Jared Grey氏も、300イーサリアムを回収したことを確認した。

Grey氏は、SushiSwapとも提携している、リキッドステーキング・プロトコル「Lido Finance」に連絡を取り、さらに700イーサリアムを取り戻すために動いているところだとも続けている。

悪意あるコントラクトを承認させる手口

3/ Root cause is because in the internal swap() function, it will call swapUniV3() to set variable "lastCalledPool" which is at storage slot 0x00. Later on in the swap3callback function the permission check get bypassed. pic.twitter.com/LN0Ppsob9a
— Ancilia, Inc. (@AnciliaInc) April 9, 2023

今回、バグを利用した悪意あるハッカーにより、資金が不正に引き出されたとみられる。Web3サイバーセキュリティ企業Ancilisによると、SushiSwapルーターコントラクトの承認に関する部分にバグがあった形だ。

これにより、ハッカーが一般ユーザーに悪意あるコントラクトを承認させ、その資金を盗むことが可能になっていた。

仮想通貨メディアThe BlockのリサーチアナリストKevin Peng氏によると、現在までに190のイーサリアムアドレスが問題のあるコントラクトを承認している。さらに、イーサリアムのレイヤー2プロジェクトであるアービトラム（ARB）では2,000以上のアドレスが、このコントラクトを承認済とみられる。

DeFi（分散型金融）とは

ブロックチェーンを活用し、中央管理者不在の状態で行われる金融サービス、またはそのシステムを指す。「Decentralized Finance」の略。DeFiで行われる金融サービスには、ステーブルコインの発行や通貨の貸出、仮想通貨取引所などがある。イーサリアムのブロックチェーンを利用しているプラットフォームが多い。

▶️仮想通貨用語集

CoinPost App DL