大手分散型取引所「Curve Finance」でハッキング　推定被害額58億円が資金流出か

リエントランシーの脆弱性

DeFi（分散型金融）サービス大手「Curve Finance」は31日、複数の流動性プールでリエントランシー（再入可能）の脆弱性が悪用されたと発表。推定被害額は58億円（4,100万ドル）規模に達した。

Curve Financeは、効率的なステーブルコイン取引に特化した分散型取引所で、Curveのプラットフォームでは、標準化されたフレームワークを使用して、プロジェクトや個人が流動性プールを立ち上げることが可能だ。

今回影響を受けたのは、プログラミング言語「Vyper」の特定のバージョンを使用していたステーブルコインの流動性プールであることが判明。Vyperはバージョン0.2.15、0.2.16、0.3.0にリエントランシーロックの誤動作による脆弱性があることを認めており、調査を継続している。

リエントランシー攻撃では、スマートコントラクトに何度も入り（エントリー）、被害対象のアカウントから送金などの操作を繰り返すため、大きな被害をもたらす可能性が高いとされる。

2016年に発生したThe DAO事件では、リエントランシー攻撃が原因で、約77億円（5,500万ドル）という巨額の被害が発生。イーサリアムのチェーンが分岐し、イーサリアムクラシックという新たなブロックチェーンが誕生するきっかけとなった。

ブロックチェーンセキュリティ企業「Beosin」によると、以下のプロジェクトの流動性プールが攻撃を受け、資金が不正流出した。

• JPEGd（pETH-ETH）：約16億円（1,140万ドル）
• Metronome（sETH-ETH）約2.25億円 (160万ドル）
• Alchemix（alETH-ETH）：約19億円（1,360万ドル）

また、ブロックチェーン監査会社「BlockSec」は、予備的な分析で、今回の総被害額を約58億円（4,100万ドル）と見積もっている。

ネイティブトークンにも被害

Curve FinanceのガバナンストークンであるCurve DAO トークン（CRV）にも被害が発生した模様だ。

ブロックチェーンデータを分析する「Banteg」のツイートによると、ホワイトハットによる資産保護のミッションが行われる数分前に、Curve FinanceのCRV/ETHプールから資金が流出したという。現時点での推定では、約9.9億円（700万ドル）のCRVと19.８億円（1,400万ドル）のラップドイーサ（WETH）が流出したと見られている。

前出のBlockSecは、攻撃に使用されたウォレットは大手暗号資産（仮想通貨）取引所バイナンスから資金提供されてると主張。チャンポン・ジャオ（CZ）CEOに真相究明を呼びかけている。

関連：DeFiハッキング対策、イーサリアム改善案「ERC 7265」とは？

コメントしてBTCを貰おう 新着ニュースをチェック