リエントランシーの脆弱性
DeFi(分散型金融)サービス大手「Curve Finance」は31日、複数の流動性プールでリエントランシー(再入可能)の脆弱性が悪用されたと発表。推定被害額は58億円(4,100万ドル)規模に達した。
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
— Curve Finance (@CurveFinance) July 30, 2023
Other pools are safe. https://t.co/eWy2d3cDDj
Curve Financeは、効率的なステーブルコイン取引に特化した分散型取引所で、Curveのプラットフォームでは、標準化されたフレームワークを使用して、プロジェクトや個人が流動性プールを立ち上げることが可能だ。
今回影響を受けたのは、プログラミング言語「Vyper」の特定のバージョンを使用していたステーブルコインの流動性プールであることが判明。Vyperはバージョン0.2.15、0.2.16、0.3.0にリエントランシーロックの誤動作による脆弱性があることを認めており、調査を継続している。
リエントランシー攻撃では、スマートコントラクトに何度も入り(エントリー)、被害対象のアカウントから送金などの操作を繰り返すため、大きな被害をもたらす可能性が高いとされる。
2016年に発生したThe DAO事件では、リエントランシー攻撃が原因で、約77億円(5,500万ドル)という巨額の被害が発生。イーサリアムのチェーンが分岐し、イーサリアムクラシックという新たなブロックチェーンが誕生するきっかけとなった。
ブロックチェーンセキュリティ企業「Beosin」によると、以下のプロジェクトの流動性プールが攻撃を受け、資金が不正流出した。
- JPEGd(pETH-ETH):約16億円(1,140万ドル)
- Metronome(sETH-ETH)約2.25億円 (160万ドル)
- Alchemix(alETH-ETH):約19億円(1,360万ドル)
また、ブロックチェーン監査会社「BlockSec」は、予備的な分析で、今回の総被害額を約58億円(4,100万ドル)と見積もっている。
The sheet updated. Losses have already ~$41m!https://t.co/lCaS4uEPzm https://t.co/stQYNJFS7y pic.twitter.com/P7jG8NHnV4
— BlockSec (@BlockSecTeam) July 30, 2023
ネイティブトークンにも被害
Curve FinanceのガバナンストークンであるCurve DAO トークン(CRV)にも被害が発生した模様だ。
crv/eth pool drained minutes before a whitehack operation 🙁https://t.co/rhALBzkTEi
— banteg (@bantg) July 30, 2023
ブロックチェーンデータを分析する「Banteg」のツイートによると、ホワイトハットによる資産保護のミッションが行われる数分前に、Curve FinanceのCRV/ETHプールから資金が流出したという。現時点での推定では、約9.9億円(700万ドル)のCRVと19.8億円(1,400万ドル)のラップドイーサ(WETH)が流出したと見られている。
前出のBlockSecは、攻撃に使用されたウォレットは大手暗号資産(仮想通貨)取引所バイナンスから資金提供されてると主張。チャンポン・ジャオ(CZ)CEOに真相究明を呼びかけている。
This 'attacker' (a $14m profit) is funded from @binance, whitehat? Please check it @czhttps://t.co/klrN6SeKrj https://t.co/vjc1RRcLX4 pic.twitter.com/aXE9t5fjKa
— BlockSec (@BlockSecTeam) July 30, 2023
関連:DeFiハッキング対策、イーサリアム改善案「ERC 7265」とは?
