犯人は期限までに返金に応じず
DeFi(分散型金融)サービス大手「Curve Finance」は7日、7月30日に複数の流動性プールを攻撃し、約86億円(6,100万ドル)以上を不正に得た犯人を特定できた者に報奨金(バウンティ)を与えると発表した。
The deadline for the CRV/ETH exploiter passeshttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
— Curve Finance (@CurveFinance) August 6, 2023
経緯としてCurve Financeは3日、ハッカーに対して、返金に応じれば流出した金額の10%に相当する資産を報奨金として与えると申し出ていた。
ハッカー側はこの提案を受け入れ、Curveのプールを利用するAlchemix Financeに約64億円(4,500万ドル)相当のイーサリアム(ETH)を、JPEG’dに約14億円(1,000万ドル)相当のイーサリアムをそれぞれ返却した。
しかし、6日の期限を過ぎても影響を受けた他のプールへの返金は完了していない状況だ。このため、Curve Financeは次のようなオンチェーンメッセージを発表している。
資金の自発的返還期限である6日午前8時を迎えた。私たちは報奨金を一般に拡大し、流出した資金の残りの10%(時価185万ドル相当)について、法廷での有罪判決につながるような形で犯人を特定した者に与える。
もし犯人が資金を全額返還することを選択した場合には、これ以上追求しないことを約束する。
リエントランシー攻撃による不正流出
Curve Financeは、ステーブルコイン取引に特化した分散型取引所で、プロジェクトや個人が標準化されたフレームワークにより流動性プールを立ち上げることを可能にしている。
今回攻撃されたのは、プログラミング言語「Vyper」のバージョン0.2.15、0.2.16、0.3.0を使用していた流動性プールだった。これらのバージョンは、リエントランシーロックの誤動作による脆弱性がある。
今回のハッキングでは、この脆弱性をついて、スマートコントラクトに何度も入り(エントリー)ターゲットのアカウントから送金などの操作を繰り返すためリエントランシー攻撃が行われていた。
DeFiLlamaのデータによると、Curve Finance は仮想通貨市場最大の分散型取引所(DEX)の1つであり、時価総額は約751億円(約5.3億ドル)だ。リエントランシー攻撃があってからCurve DAO Token(CRV)は攻撃前の約0.7ドルから下落して、現在は0.6ドル前後で推移している。
関連:大手分散型取引所「Curve Finance」でハッキング 推定被害額58億円が資金流出か
DEX(分散型取引所)とは
ブロックチェーン上に構築される非中央集権型取引所。「分散型取引所」の英訳である「Decentralized EXchange」から「DEX」とも呼ばれる。中央管理者を介さずに当事者間で直接取引を行うため、管理者に支払う手数料が不要で、その他に流動性が低い、秘密鍵をユーザーが管理するなどの特徴がある。
▶️仮想通貨用語集
JPモルガン「DeFiの成長は鈍化」
米金融大手JPモルガンは3日、DeFiに関する分析を発表、今回のハッキングについても言及している。
Curveの創設者Michael Egorov氏が、自身のポジション清算を回避するために、CRVトークンをジャスティン・サン氏ら大口プレイヤーに売却したことで、DeFiエコシステムへの悪影響が抑えられたと見解を述べた形だ。
一方で、ハッキングやFTX破綻、米国の規制の不確実さなどにより昨年からDeFiセクターの成長は鈍化しているとも指摘している。
関連:米大手JPモルガン「Curve攻撃によるDeFiへの影響は収まっている」=報道
