分散型融資プラットフォームのクリーム・ファイナンス(Cream Finance)で28日、大規模なフラッシュローン攻撃によって1.3億ドル以上の資金が不正流出した。

ブロックチェーンデータ分析会社のPeckShieldは、27日にフラッシュローンを利用した攻撃を確認。盗まれた資金は、主にクリームリクイディティプロバイダートークンと、その他のイーサリアムベースのトークンだった。

フラッシュローンとは分散型金融(DeFi)の普及によって注目されている1トランザクション内で無担保ローンが可能となる仕組みだ。ローンの開始と終了を1トランザクション内で完結できれば担保なしで利用できる。

用途としては、裁定取引(アービトラージ)を実行する場合などがあげられる。フラッシュローンを活用することで、手元に資産がない場合でも裁定取引を行うことが可能だ。

しかし今回の攻撃では、攻撃者は自分のアービトラージ機会を作るために脆弱なスマートコントラクトを利用。取引ペアの相対的な価値を操作することでスリッページを発生させ、攻撃者はトークンを非常に安く入手したり、トークンを搾取された契約に高値で売却したりすることができる。

クリーム・ファイナンスは日常的に攻撃者に狙われており、8月にも1,900万ドルのフラッシュローン攻撃を受けている。コインテレグラフが当時報じたように、この攻撃は、デジタル決済ネットワークであるFlexaでの決済を担保するために設計されたイーサリアムベースのトークンであるAMPが導入した、リエントランシーのバグに伴うバグフラッシュローン攻撃。本稿執筆時点で、業界関係者によると、Creamのトータルバリューロックド(TVL)は15億ドル以上に上る。

Cream Finance TVL. Source: Defillama

クリーム・ファイナンスのフォーラムは攻撃を受けて引き揚げられたようだが、プロトコルはフラッシュローンを調査中であることをツイッターのフォロワーに通知している。ツイッターのスレッドには、ユーザーの資金を保護するという点でのクリーム側の対応の悪さに対する怒りの声が寄せられている。

分散型金融(DeFi)は、従来の金融に革命を起こし、金融包摂を促進すると称賛されてきたが、消費者保護に関する業界の実績は粗末なものだ。CryptoSecによると、DeFi攻撃リストには、9月16日時点で63の攻撃が確認されており、失われた資金の総額はおよそ12億ドルに上るという。クリームファイナンスの最新の流出は、最大級のものになるだろう。

Cointelegraph Markets Proによると、このニュースの中でクリーム・ファイナンスのCREAMトークンの価値は暴落し、26%以上下落して115.47ドルとなった。