ブロックチェーンセキュリティ企業ペックシールドは、8月9日に分散型金融(DeFi)プロジェクトを狙った新たな不正流出事案があったと指摘している。同社によると、Aaveのアーニングファームはリエントランシー攻撃により侵害され、少なくとも28万7000ドル(約4130万円)相当のイーサ(ETH)が盗まれたという。
リエントランシー攻撃とは、ATMを騙して何度もお金を引き出させるようなものだ。資金要求を繰り返し行い、システムが攻撃者に利用可能な資金以上の資金を提供するように騙すことで発生する。同様に、コンピュータでは、攻撃者が関数を呼び出してコントラクトと繰り返しやり取りし、最初の関数呼び出しが完了する前により多くのアクセスやリソースを得るためにこのトリックを利用する。
この攻撃がカーブファイナンスのプールに対する攻撃と関連があるかどうかは不明だ。カーブファイアンスのプールも7月30日にリエントランシー攻撃を受け、6100万ドル以上が奪われた。カーブのハッキングは、DeFiプロトコルの開発者に広く使用されている一般的なコントラクト言語であるVyperの脆弱性が原因だとされている。
アーニングファームは、ETH、ラップドビットコイン(wBTC)、USDコイン(USDC)の保有者向けにユーザーフレンドリーなプロトコルとして設計されている。そのウェブサイトによれば、セキュリティ企業のスローミストがそのブロックチェーンコントラクトを監査している。
これはアーニングファームのプロトコルが攻撃された初めてのケースではない。2022年10月には、アーニングファームはEFLeverVaultを通じたフラッシュローン攻撃によるハッキングを受け、プロトコルから750ETHが奪われた。フラッシュローン攻撃では、ハッカーは一回の取引で大量の仮想通貨を借り、その価値をさまざまな取引で操作し、その後、同じ取引内でローンを返済する。これらの攻撃は、システムの価格の不一致や一時的な不均衡を利用して利益を上げることになる。
翻訳・編集 コインテレグラフジャパン