分散型取引所SushiSwapで4億円相当のハッキング 承認取り消し(リボーク)を推奨
不正流出資金の一部は回収済
ブロックチェーンセキュリティ企業PeckShieldは9日、分散型の暗号資産(仮想通貨)取引所SushiSwap(SUSHI)から不正に資金が流出していると知らせた。現在、SushiSwapのチームはその一部を回収している。
PeckShieldによると、RouterProcessor2コントラクトで承認(Approve)に関連するバグが悪用され、少なくとも1アカウントが約4.4億円(330万ドル)相当の損失を被った可能性がある。
PeckShieldおよび、SushiSwapの責任者Jared Grey氏は、もしこの取引を承認してしまった場合デジタル資産(資金)が盗まれる恐れがあるため、すぐに「Revoke」する(取り消す)よう呼びかけている。
関連:Web3ウォレットMetamask 利用上の注意点を解説
RouterProcessor2というコントラクトは、イーサリアム(ETH)、BNBチェーン(BSC)、ポリゴン(MATIC)、アバランチ(AVAX)、ファントム(FTM)と複数チェーンで展開しており、このすべてのチェーンで、承認取り消しを求めた形だ。
DeFi(分散型金融)のデータやアグリゲータを提供するDeFi Llamaの開発者0xngmi氏は次のように述べている。
いくつかのチェーンでは、問題のコントラクトは最大2週間展開されていた。過去2週間のSushiswapにおけるコントラクト承認は、すべてリスクがあると考えるのが一番安全だ。
該当するコントラクトの承認を取り消すか、関係するウォレットから資金を他のウォレットに移すことを推奨する格好だ。0xngmi氏は、承認を取り消すべきコントラクトの一覧も示している。
その後、SushiSwapは、ホワイトハットのセキュリティプロセスにより、不正流出した資金の多くの部分を回収することに成功したと発表。Jared Grey氏も、300イーサリアムを回収したことを確認した。
Grey氏は、SushiSwapとも提携している、リキッドステーキング・プロトコル「Lido Finance」に連絡を取り、さらに700イーサリアムを取り戻すために動いているところだとも続けている。
悪意あるコントラクトを承認させる手口
今回、バグを利用した悪意あるハッカーにより、資金が不正に引き出されたとみられる。Web3サイバーセキュリティ企業Ancilisによると、SushiSwapルーターコントラクトの承認に関する部分にバグがあった形だ。
これにより、ハッカーが一般ユーザーに悪意あるコントラクトを承認させ、その資金を盗むことが可能になっていた。
仮想通貨メディアThe BlockのリサーチアナリストKevin Peng氏によると、現在までに190のイーサリアムアドレスが問題のあるコントラクトを承認している。さらに、イーサリアムのレイヤー2プロジェクトであるアービトラム(ARB)では2,000以上のアドレスが、このコントラクトを承認済とみられる。
DeFi(分散型金融)とは
ブロックチェーンを活用し、中央管理者不在の状態で行われる金融サービス、またはそのシステムを指す。「Decentralized Finance」の略。DeFiで行われる金融サービスには、ステーブルコインの発行や通貨の貸出、仮想通貨取引所などがある。イーサリアムのブロックチェーンを利用しているプラットフォームが多い。
▶️仮想通貨用語集
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します