KyberSwapのスマートコントラクトが標的に
分散型取引所(DEX)集約プラットフォームKyberSwapがセキュリティ侵害の被害を受けて、約4600万ドル(68億円)相当の暗号資産(仮想通貨)が不正流出したことがわかった。
プロトコル構築を主導するKyberNetworkは23日、公式Xアカウントでこのセキュリティ侵害について公表し、ユーザーに速やかな資金の引き出しを促した。同社は、現在、攻撃者と資金の一部を返還するための交渉を進めている。
同社によれば、被害を受けたのはElastic Poolsの資産。KyberSwap Elasticは特定の価格範囲内でのみ資金を提供可能なスマートコントラクトであり、資金供給者は市場の価格動向に応じて最も効率的な範囲に資金を集中させ、その価格帯での取引からより高い手数料収入を得ることが可能となる。
ブロックチェーンの記録から、ハッカーは主にイーサリアムのラップトバージョン(wETH、wstETH)、アービトラム(ARB)、ステーブルコイン「USDCoin(USDC)」等を盗んだ。KyberSwapのTVL(預入総額)は22日の8,400万ドルから執筆時点に780万ドルに減少している。
関連:仮想通貨取引所Poloniexハッキング、1億ドル以上流出
ユーザーの対応策は?
この攻撃は、KyberSwapの特有の「集中流動性」機能の脆弱性を悪用する形で実行された。DeFiの専門家Doug Colkitt氏によれば、攻撃者は複数のエクスプロイトを用いて特定のプールで不正な取引を行っており、KyberSwapのコードにセキュリティ上の問題があったことを指摘している。
Cinneamhain Venturesのゼネラルパートナー、Adams Cochran氏は、流動性プロバイダーではないユーザーによる過去の「承認(Approval)」作業に関しては二次被害などのリスクが低いと考えられるが、それでも警戒を怠らないことが重要と述べている。
メタマスクなどの仮想通貨ウォレットでは、Etherscan、BscScan、Polygonscanなどのブロックエクスプローラーにある「承認チェッカー」で、これまでに承認(Approve)してきたdAppsを一覧表示し、それらを取り消し(Revoke)することもできる。
関連:Web3ウォレットMetamask(メタマスク) 利用上の注意点を解説
Kyber Networkプロジェクトは今年4月、KyberSwap Elasticに潜在的な脆弱性があることを公表し、流動性提供者に資産の迅速な引き出しを推奨した経緯があった。当時、不正流出被害は出ていなかった。
関連:DEX「KyberSwap Elastic」に脆弱性の可能性、流動性提供者に出金を推奨
