DEUSのステーブルコインDEIハッキング、約6.5億円超の被害

Deus Financeへの攻撃

DeFi（分散型金融）プロトコルDeus Financeが5日にハッキングされた。イーサリアムのL2であるアービトラムでの被害額は約6.5億円（500万ドル）を超えており、一方BNBチェーンでは約1.7億円（130万ドル）が不正に流出。どちらも奪われた暗号資産（仮想通貨）はDEUSが発行するステーブルコインDEIである。

なお、ホワイトハッカーによりBNBチェーンで一部資金が回収され、DeusDaoに一部の資金が返還されているようだ。高いガス価格を支払って、ハッカーの取引を先回りするフロントランボットが発動したと見られる。

Hi @DeusDao: it appears to be a pubic burn vulnerability with loss > $1.3M alone at BSC. The ARB/ETH deployments are also affected.

The BSC hack was successfully frontrun by a bot: https://t.co/hXskQOIfwV

The DEI token @ BSC was upgraded on Apr-10-2023 https://t.co/QJHwnZaXMk pic.twitter.com/C51CnVsg1B
— PeckShield Inc. (@peckshield) May 5, 2023

ブロックチェーンセキュリティ会社Packshieldによれば、主な原因はバーン（焼却）機能のバグに関連している。許可を与えるアカウント（送信者）と許可を受けるアカウント（所有者）の順序が逆になっていたことにより、誰でも他人のトークンを燃やしたり、盗んだりできる状態だった。

バーンとは

バーンとは、仮想通貨の発行数を減らす行為。今回の場合、不正に取得されたトークンが流通しないようにし、トークン価値やプロジェクトの信頼性に対する影響を最小限に抑えるために実施された。

DEUSの対応

DEUSは、関連するコントラクトを一時停止し、ホワイトハットの協力を得て、さらなる悪用を防ぐために流通しているDEIをバーン（焼却）したと発表した。DEUSはDEIのエクスプロイト（脆弱性を悪用した攻撃）から資金を救出したホワイトハッカーに感謝の意を示し、まだ連絡を取っていないホワイトハッカーに対して、彼らと連絡を取るよう求めている。

For all white hackers that were able to rescue funds during the DEI exploit from today 05/05/2023
We are confirming 0x7f5ae1dc8d2b5d599409c57978d21cf596d37996
As a DEUS team owned multisig on Arbitrum.
Please get in touch with us if you have not already. https://t.co/7w5y6Nh2EM
— DEUS (@DeusDao) May 5, 2023

DEUSファイナンスは、ステーブルコインDEIの価格を1ドルに近づけるために独自トークン「DEUS」の発行・燃焼メカニズムを用いている。

このプロトコルは過去に2度のハッキング被害に遭っている。いずれもフラッシュローンを利用した価格オラクルの操作によるもので、2022年3月にはDAIとETHの約300万ドルが盗まれた。同年4月にはDEIで約1,340万ドルが盗まれた。当時、DEUSファイナンスは奪われた資産を顧客に返済すると発表していた。

ホワイトハッカーとは

サイバー犯罪への対処など、知識や技術を善良な目的のために利用する人。ブラックハッカーによるサイバー犯罪に対抗したり、企業や国の情報セキュリティを高めたりする。