DEUSのステーブルコインDEIハッキング、約6.5億円超の被害 ホワイトハッカーが一部資金返還

Deus Financeへの攻撃

DeFi（分散型金融）プロトコルDeus Financeが5日にハッキングされた。イーサリアムのL2であるアービトラムでの被害額は約6.5億円（500万ドル）を超えており、一方BNBチェーンでは約1.7億円（130万ドル）が不正に流出。どちらも奪われた暗号資産（仮想通貨）はDEUSが発行するステーブルコインDEIである。

なお、ホワイトハッカーによりBNBチェーンで一部資金が回収され、DeusDaoに一部の資金が返還されているようだ。高いガス価格を支払って、ハッカーの取引を先回りするフロントランボットが発動したと見られる。

Hi @DeusDao: it appears to be a pubic burn vulnerability with loss > $1.3M alone at BSC. The ARB/ETH deployments are also affected.

The BSC hack was successfully frontrun by a bot: https://t.co/hXskQOIfwV

The DEI token @ BSC was upgraded on Apr-10-2023 https://t.co/QJHwnZaXMk pic.twitter.com/C51CnVsg1B

— PeckShield Inc. (@peckshield) May 5, 2023

ブロックチェーンセキュリティ会社Packshieldによれば、主な原因はバーン（焼却）機能のバグに関連している。許可を与えるアカウント（送信者）と許可を受けるアカウント（所有者）の順序が逆になっていたことにより、誰でも他人のトークンを燃やしたり、盗んだりできる状態だった。

DEUSの対応

DEUSは、関連するコントラクトを一時停止し、ホワイトハットの協力を得て、さらなる悪用を防ぐために流通しているDEIをバーン（焼却）したと発表した。DEUSはDEIのエクスプロイト（脆弱性を悪用した攻撃）から資金を救出したホワイトハッカーに感謝の意を示し、まだ連絡を取っていないホワイトハッカーに対して、彼らと連絡を取るよう求めている。

For all white hackers that were able to rescue funds during the DEI exploit from today 05/05/2023
We are confirming 0x7f5ae1dc8d2b5d599409c57978d21cf596d37996
As a DEUS team owned multisig on Arbitrum.
Please get in touch with us if you have not already. https://t.co/7w5y6Nh2EM

— DEUS (@DeusDao) May 5, 2023

DEUSファイナンスは、ステーブルコインDEIの価格を1ドルに近づけるために独自トークン「DEUS」の発行・燃焼メカニズムを用いている。

このプロトコルは過去に2度のハッキング被害に遭っている。いずれもフラッシュローンを利用した価格オラクルの操作によるもので、2022年3月にはDAIとETHの約300万ドルが盗まれた。同年4月にはDEIで約1,340万ドルが盗まれた。当時、DEUSファイナンスは奪われた資産を顧客に返済すると発表していた。

関連：Deus Financeなど複数のDeFiプロトコルで16億円超のハッキング被害