分散型取引所(DEX)のdYdXは、2023年11月17日に同社のv3プラットフォームを攻撃し、保険基金から900万ドルの損失をもたらした犯人の身元を特定したと発表した。
取引所の「標的型攻撃」に関するポストモーテム(事後検証)で、dYdXは現在、犯人に対する法的措置を検討していることを明らかにした。
dYdXは、今後の同様の戦術による組織的攻撃を回避するため、建玉の監視とアラートを強化するなど、v3取引プラットフォームを改善したと述べた。
こうして強化されたv4チェーンは、リスクを軽減するために特別に構築されているという。異常な価格変動に応じて、委託証拠金の端数を自動的に調整する新機能を備えている。
1/ After looking into the YFI incident on dYdX v3, we’ve successfully tracked down the individual responsible & made a report to law enforcement.
— dYdX (@dYdX) January 3, 2024
This is our in-depth analysis & next steps https://t.co/JGxebpERYl
dYdXは、攻撃方法を検証したところ、攻撃者が100以上のウォレットにまたがってYFI/USD取引ペアを使用して、多くの5倍のレバレッジをかけたロングポジションを開始したことを発見した。攻撃者はさまざまなアドレスを使用して、Yearn.finance(YFI)トークンをスポット購入した。これにより、YFIの価格は215%上昇した。
YFIは、Yearn.financeの分散型金融プロトコルのネイティブトークン。
dydxによると、攻撃者はさらにYFI/USDポジションをエントリーすることで、未実現利益を拡大し、最大で約5000万ドルに達した。11月17日、プラットフォームは攻撃者の活動を制限するために、YFI/USD市場の委託証拠金要件を引き上げ、基本ポジションサイズと追加ポジションサイズを引き下げた。
翌日、YFIの価格は1時間以内にほぼ30%下落し、攻撃者はポジションを閉じることができなかった。攻撃者の保有がマイナスになったときに、保険基金が自動的に損失を補ったと、dYdXは明らかにした。
プラットフォームはまた、YFI事件の1週間前に、攻撃者が同じ戦略をSUSHI/USDで使用し、約500万ドルの利益を上げたことも述べた。しかし、これはv3保険基金に影響を与えなかったという。dYdXは、委託証拠金要件を100%に引き上げ、攻撃者がさらに利益を得るのを防いだ。
同社は、攻撃が顧客資金に影響を与えなかったことを明確にし、攻撃者がYFI市場を操作したことによる利益を享受できなかったことを示した。