Fei Protocolから100億円以上が不正流出 資金プールにハッキング
100億円以上の仮想通貨が流出
DeFiセキュリティ企業BlockSecは4月30日、Fei ProtocolとRari Capitalに関連する複数の資金プールがハッキングされ、約104億円(8,000万ドル)の暗号資産(仮想通貨)が不正流出したと報告した。
DeFiのためのステーブルコインFEIを提供するFei Protocolは、Rari Capitalのレンディングプール「Rari Fuse」を利用していたが、このプールにハッキングがあったものとみられる。Fei Protocolは、本件について次のようにツイートしている。
Rari Fuse関連プールから資金流出があったことを確認し、根本的な原因は特定した。また、さらなる被害を防ぐために、すべての借し出しプログラムを一時停止した。
資金を盗んだ者に対しては、約13億円(1,000万ドル)の報奨金を用意している。残りのユーザー資金を返却すれば、それ以上は不問とする。
ハッカーに対して、ユーザー資金を返せば報酬を約束すると述べた格好だ。
また、Rari Capitalも同様の内容を投稿。現在プロジェクト関係者が、セキュリティの専門家と共に、今回のハッキングについて調査しているところだと報告している。
DeFi(分散型金融)とは
ブロックチェーンを活用し、中央管理者不在の状態で行われる金融サービス、またはそのシステムを指す。DeFiで行われる金融サービスには、ステーブルコインの発行や通貨の貸出、仮想通貨取引所などがある。イーサリアムのブロックチェーンを利用しているプラットフォームが多い。
▶️仮想通貨用語集
フラッシュローンを悪用
BlockSecはこの件について、リエントランシー攻撃が行われたと分析した。この攻撃は、スマートコントラクトに何度も入り、送金操作などを繰り返すものである。
仮想通貨についてのセキュリティ情報を提供するCertiKによると、今回の攻撃はフラッシュローンを利用したものだったという。ハッカーはリエントランシー攻撃により、Fei Protocolの設計上の欠陥を利用。資産を借りながら、そのために預けた担保を引き出すことに成功した。
フラッシュローンとは
フラッシュローンとは、スマートコントラクトで実行される無担保の融資。対象資産のトークンについて借り入れと返済の処理を同一のトランザクション内で完了することが条件となる。
▶️仮想通貨用語集
CertiKはさらに、攻撃者が不正に得た利益を自分のアドレスに送金し、その資金の一部をプライバシープロトコル「Tornado Cash」で資金洗浄したと分析している。
こうした手口のハッキングはDeFiで相次いでおり、3月にはDeus Financeや、Agave、Hundred Financeでも同様の資金流出が報告されていたところだ。
これら一連のハッキングで、フラッシュローンが悪用され、資金が搾取されていた。Deus Financeの件では、資金洗浄に今回同様「Tornado Cash」が使われたことも指摘されている。
関連:Deus Financeなど複数のDeFiプロトコルで16億円超のハッキング被害
CertiKは、22年4月にはフラッシュローンを悪用した攻撃が多く、被害額は約390億円(3億ドル)以上に上ったと報告した。詐欺やハッキングによる4月の被害額約490億円(約3.8億ドル)の大半を占めていたことになる。
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します