ステーブルコイン・プロトコル「Beanstalk」、230億円相当のハッキング被害

巨額の資金流出が発覚

イーサリアムベースのDeFiプロトコル「Beanstalk」がハッキングを受け、計230億円（1億8,200万ドル）の資金が不正流出したことがわかった。

セキュリティ企業PeckShieldは、不正流出発見当初、ツイッターでフラグを立て、ハッカーが2万4,830ETHと3,600万BEANを含む100億円超（8,000万ドル）を盗難したと発表。その後の調査で被害額はさらに拡大することとなった。

Beanstalkは、2021年10月に取引が開始された、イーサリアムベースの米ドルのステーブルコイン・プロトコル。安定性の供給には従来型の担保ではなく、分散型クレジットをベースしている。

ハッキング発覚後、1ドルにペグすべきBEAN価格は一時、0.06ドルまで大幅に下落（-94％）。執筆時現在、0.23ドル（-77％）で取引されている。

ハッキングが可能になった背景には、事件の前日に提出されたフラッシュローンに関する要件変更が関係しているようだ。Beanstalkのプロジェクトリーダーは以下のように述べている。

Beanstalkは、BIPに賛成票を投じるStalkの割合を決定するにあたり、フラッシュローンに耐性のある手段を講じなかった。これが、ハッカーによってBeanstalkが利用される脆弱性となってしまった。

フラッシュローン（Flash Loan）

フラッシュローンとは、スマートコントラクトで実行される無担保の融資。対象資産のトークンについて借り入れと返済の処理を同一のトランザクション内で完了することが条件となる。

ハッカーは融資プラットフォームAaveのフラッシュローンを利用して、Beanstalkのガバナンストークン「Stalk」を大量に入手。このトークンによって付与されたBIPの議決権を使って、自身に利益をもたらすガバナンス案を素早く可決し、全てのプロトコル資金を引き出した。

Etherscanのデータによると、ハッカーはその後分散型取引所UniswapでDAI、USDC、USDTをイーサリアムと交換したほか、ミキシングサービス「トルネードキャッシュ（Tornado Cash）」を利用してマネーロンダリング（資金洗浄）を行った疑いがある。

なお、ブロックチェーンセキュリティ企業のOmniciaは、この事件後の分析を発表。その中で、ハッキングが起きたBeanstalkのスマートコントラクトのコードは、Omniciaによる監査終了後に、フラッシュローン要件が変更されたものだと指摘している。

Beanstalkチームは、現時点でユーザーに対する補償については明らかにしていない。

画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します