分散型金融(DeFi)プロトコルのクリーム(Cream)・ファイナンスとアルファ・ファイナンスは13日、アルファ・ファイナンスのアルファ・ホモラ(Alpha Homora)v2から合計で3750万ドル(約39億3500万円)が失われたと発表した。DeFiに関する資金流出として最大規模だ。
クリーム・ファイナンスのプロトコル間レンディングプラットフォームであるアイアン・バンク(Iron Bank)を通じてフラッシュローンで攻撃が行われた。アルファ・ファイナンスは「抜け穴」にはパッチがすでに当てられ、チーム内に「第一容疑者」がいると発表している。
Dear Alpha community, we've been notified of an exploit on Alpha Homora V2. We're now working with @AndreCronjeTech and @CreamdotFinance together on this.
— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021
The loophole has been patched.
We're in the process of investigating the stolen fund, and have a prime suspect already.
アルファ・ファイナンスはヤーン・ファイナンス創業者でDeFiの第一人者として知られるアンドレ・クロンジェ氏やクリーム・ファイナンスと協力して事件を調査している。
攻撃者はアルファ・ホモラを利用して、レバレッジをかけた融資を可能にするアイアンバンクとの間で貸し借りを繰り返していた。一部のアナリストは、偽の「呪文」(Alphaのブランド用語でスマートコントラクトを指す)が悪用を可能にしたのではないかと推測している。
That contract is a faked Alpha Homora spell, Alpha Homora's system thought it was one of their own;
— Arrundai (@arrundai) February 13, 2021
That "contract" is "owned" by Alpha pic.twitter.com/5OHlWh9Mi1
この「偽の呪文/コントラクト」の悪用は、2020年11月に起きたPickle Financeへの「悪の瓶」攻撃と似た手法だ。Pickle Financeでは「Jar(瓶)」と呼ばれる資金プールで偽のコントラクトに反応してしまった。
不正流出後に、攻撃者はアルファファイナンスとアイアンバンクにそれぞれ1000イーサを配布し、Goitcoinの寄付も行なった。
クリーム・ファイナンスはツイッターで、アイアンバンクの悪用は他のコントラクトに影響を与えておらず、マネーマーケットは正常に機能していると述べている。
C.R.E.A.M. contracts and markets were investigated and found to be functioning as normal. Markets have been re-enabled across both V1 and V2.
— Cream Finance (@CreamdotFinance) February 13, 2021
Post mortem to follow.
プロトコル救済の行方は?
問題はプロトコルが「第一容疑者」から資金が返還されない場合に、ユーザーがどのように補償が受けられるのかだ。
最近では、2月にヤーン・ファイナンスで1100万ドル相当の不正流出があった。これに対して、メーカーダオは、カスタムメイドのCDP(Collateralized Debt Positions、担保付債務ポジション)を作成することで、大規模ハッキングに見舞われたヤーン・ファイナンスを救済する措置をとった。これによって「DAOがDAOを救済する」という前例ができた。
今回の事例はヤーン・ファイナンスが被った1100万ドルよりも大きい。一部のトレーダーや機関は、アルファ・ファイナンスが同様に損失をカバーするためにトークンを新規発行すると予想しており、これによって価値が下落するのではと不安視されている。
翻訳・編集 コインテレグラフジャパン