大手分散型取引所「Curve Finance」でハッキング 推定被害額58億円が資金流出か
リエントランシーの脆弱性
DeFi(分散型金融)サービス大手「Curve Finance」は31日、複数の流動性プールでリエントランシー(再入可能)の脆弱性が悪用されたと発表。推定被害額は58億円(4,100万ドル)規模に達した。
Curve Financeは、効率的なステーブルコイン取引に特化した分散型取引所で、Curveのプラットフォームでは、標準化されたフレームワークを使用して、プロジェクトや個人が流動性プールを立ち上げることが可能だ。
今回影響を受けたのは、プログラミング言語「Vyper」の特定のバージョンを使用していたステーブルコインの流動性プールであることが判明。Vyperはバージョン0.2.15、0.2.16、0.3.0にリエントランシーロックの誤動作による脆弱性があることを認めており、調査を継続している。
リエントランシー攻撃では、スマートコントラクトに何度も入り(エントリー)、被害対象のアカウントから送金などの操作を繰り返すため、大きな被害をもたらす可能性が高いとされる。
2016年に発生したThe DAO事件では、リエントランシー攻撃が原因で、約77億円(5,500万ドル)という巨額の被害が発生。イーサリアムのチェーンが分岐し、イーサリアムクラシックという新たなブロックチェーンが誕生するきっかけとなった。
ブロックチェーンセキュリティ企業「Beosin」によると、以下のプロジェクトの流動性プールが攻撃を受け、資金が不正流出した。
- JPEGd(pETH-ETH):約16億円(1,140万ドル)
- Metronome(sETH-ETH)約2.25億円 (160万ドル)
- Alchemix(alETH-ETH):約19億円(1,360万ドル)
また、ブロックチェーン監査会社「BlockSec」は、予備的な分析で、今回の総被害額を約58億円(4,100万ドル)と見積もっている。
ネイティブトークンにも被害
Curve FinanceのガバナンストークンであるCurve DAO トークン(CRV)にも被害が発生した模様だ。
ブロックチェーンデータを分析する「Banteg」のツイートによると、ホワイトハットによる資産保護のミッションが行われる数分前に、Curve FinanceのCRV/ETHプールから資金が流出したという。現時点での推定では、約9.9億円(700万ドル)のCRVと19.8億円(1,400万ドル)のラップドイーサ(WETH)が流出したと見られている。
前出のBlockSecは、攻撃に使用されたウォレットは大手暗号資産(仮想通貨)取引所バイナンスから資金提供されてると主張。チャンポン・ジャオ(CZ)CEOに真相究明を呼びかけている。
関連:DeFiハッキング対策、イーサリアム改善案「ERC 7265」とは?
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します