既知の脆弱性をハッカーに突かれ、分散型金融に「重大な打撃」

128880986_s.jpg

 DeFi(分散型金融)業界は、DeFiの多くが今なお未踏領域であることを思い出させる打撃を再び味わった。問題をさらに深刻化させるのは、既知の脆弱性が利用されたと報じられていることだ。

 ブロックチェーンセキュリティ会社のペックシールドは、今回の攻撃とその結果について詳細な調査を行い、これは既知のリエントラント(再入可能)な脆弱性だったと主張した。最初に攻撃が発生したのは4月18日で、イーサリアム<ETC>のトークン交換用自動プロトコルであるユニスワップにおいて、imBTC(ビットコイン<BTC>と1:1で交換可能な価値を持つイーサリアム・トークン)の流動性プールを対象に行われた。この攻撃の1日後に、「分散型金融プロトコル」のdForceネットワークに含まれるレンディングプロトコルであるLendf.Meに対して似たような攻撃があった。

 この脆弱性により、ハッカーはトランザクションを乗っ取って同じトークンを複数回売却することが出来た。最初の攻撃で1278ETH(23万2000ドル)もの仮想通貨が盗まれ、2度目の攻撃では2520万ドル相当が盗まれた。

 記事執筆時点でLendf.Meのサイトはオフラインになっている。dForce財団のミンダオ・ヤンCEOは公式ツイッターアカウントを通して18日の出来事に関する自社の説明を共有し、ペックシールドが述べた攻撃があったことを認めた。「ERC777(imBTC)のコールバック・メカニズムにより、ハッカーはバランスが更新されるまでの間に供給と引き出しを繰り返し行えるようになっていた」とヤン氏は書いた。

 さらに、ヤン氏はハッカーが「我々に連絡を取ろうとしており、我々としても議論に加わるつもりだ」と述べている。攻撃者が12万6014パクソス・スタンダード<PAX>、320フオビ・ビットコイン<HBTC>、38万1000フオビUSD<HUSD>をそれぞれ返還したという報告もある。

 同社は攻撃者の特定及びLendf.Meのより包括的なセキュリティ評価のために、法執行機関や交換所と協力していると述べているが、ヤン氏は今回の攻撃は自分の責任だったと表明している。「私が実行したわけではないが、私は攻撃を予期してそれを防ぐための行動を取るべきだった」と彼は書いている。

 ペックシールドによれば、このようなリエントラント攻撃を防ぐためのリスク軽減メカニズムとして、チェック・エフェクト相互作用と呼ばれるデザインパターンも存在する。ペックシールドは「Lendf.Meのハッキングは現行のDeFiコミュニティに対する重大な打撃だ」と結論付けている。

 また、その報告によると「ERC777それ自体は様々なシナリオに備えた高度な機能を持つ、コミュニティが認めたトークン標準規格であるものの(中略)これらの高度な機能は特定のDeFiが想定する状況において互換性を欠く可能性がある。加えて、このような非互換性はさらに望ましくない結果(リエントラント性など)に繋がるおそれがある。また、私達は他のトークン標準規格(ERC1115など)でもコールバック機能を与える類似の設計がなされていたことを知った」

 さらに、imBTCを裏付けている会社Tokenlonは事後報告の中で「ERC777トークン標準規格には、我々が知る限り、セキュリティの脆弱性は存在しない。しかしながら、ERC777トークンとユニスワップやLendf.Meとの契約を組み合わせて利用することにより、上記のリエントラント攻撃が可能になった」と書いている。同社は、仮想通貨プラットフォームのセキュリティ監査を手がける会社オープン・ツェッペリンが、19年7月の時点でギットハブ(開発プラットフォーム)上にこの悪用方法を公開していたとも記している。

 ブロックチェーンの顧問と投資を行う会社であるスパルタン・グループで調査責任者を務めるジェイソン・チョイ氏によれば、同じ攻撃は16年にも起きていたという。

 仮想通貨投資会社DTCキャピタルの社長スペンサー・ヌーン氏は、Lendf.Meに対する攻撃は驚くべきことではなかったと理解しているが、ツイッター利用者のパトリック・ツォイ氏はこの脆弱性は「Defi製品ローンチ前のスマートコントラクトに関する監査に組み入れられるべきだ」と考えている。

 Lendf.Meに対する攻撃は、仮想通貨ベンチャーキャピタル企業のマルチコイン・キャピタルが主導するdForceへの150万ドル分の投資ラウンドが発表された後で発生した。

(イメージ写真提供:123RF)

https://cryptonews.com/news/huge-blow-to-defi-as-hackers-exploit-known-vulnerability-6333.htm

This story originally appeared on cryptonews.com.

ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
XRP詳細ページ
ICOレーティングについて