スイ上のAftermath Finance、約1.8億円のエクスプロイトから全額補填へ

この記事のポイント

手数料ロジックの欠陥が原因
Mysten Labs・Sui財団が支援、全ユーザー損失ゼロで補填完了

各社の連携で利用者損失ゼロを実現

スイ（Sui）ブロックチェーン上のDeFiプロトコル、アフターマス・ファイナンス（Aftermath Finance）は29日、永久先物取引機能においてエクスプロイト（脆弱性悪用）が発生したと公式Xアカウントで発表した。被害額は約114万ドル（約1億8,200万円）相当のUSDCに上る。

攻撃者はパーペチュアルプロトコルの手数料精算ロジックに存在する欠陥を悪用し、マイナス値のビルダーコード手数料を発生させることで資金を抜き取った。11件のトランザクションを36分間にわたって実行することで被害が生じており、スマートコントラクト言語「Move」自体のセキュリティ上の問題ではないとチームは明言している。

関連記事：ケルプDAO、ハック事件の回収進捗を公表　残り約8万9500ETH

ケルプDAOは4月24日、rsETHの損失補填進捗を公表。当初の不足16万3200ETHのうち約7万3700ETHを回収し、残り約8万9500ETHの補填に向けDeFi各社と協議継続中。

プロトコルはエクスプロイト検知後に即座に停止措置を実施。セキュリティ企業のブロックエイド（Blockaid）およびサーティック（CertiK）が調査と資金保護に当たった。なお、スワップ・ステーキング・MEV（最大抽出可能価値）インフラなど他の機能は影響を受けていない。

その後、アフターマスは「マイステン・ラボス（Mysten Labs）とスイ財団（Sui Foundation）の支援により、全ユーザーの損失をゼロにする形で補填が実現した」と報告した。サービスは近日中に再開予定だという。

攻撃者のウォレットはオンチェーン追跡によると事前に準備されており、盗まれた資金は複数のSui上のプロトコルを経由して分散移動が確認された。エコシステム内の他プロトコルも予防措置として一部機能を制限するなど、迅速な協調対応が取られた。

SuiチェーンのDeFiプロトコルScallopがエクスプロイト被害を報告。sSUIリワードプール関連のサイドコントラクトから約15万SUJが流出したが、コアコントラクトは安全で損失は全額補填予定。

Suiエコシステムでは直近数カ月でエクスプロイトが相次いでおり、今回のアフターマスへの攻撃は、同週に発生したZetaChainやSyndicateへの攻撃に続くもので、Suiネイティブのプロトコルを狙う事案が増加している。

CoinPostの特集記事New!