イーサリアムのレイヤー2ブロックチェーンであるオプティミズム上で、マルチチェーン・レンディングプロトコルのハンドレッド・ファイナンス(Hundred Finance)が4月15日、740万ドル(約9億9000万円)の損失を被る大規模なセキュリティ侵害に遭遇した。
ハンドレッド・ファイナンスはさまざまなセキュリティチームと連携して対応していると述べた。攻撃方法については明らかにされていないが、ブロックチェーンセキュリティ企業のCertikによると、フラッシュローン攻撃だったとのことだ。
#CertiKSkynetAlert @HundredFinance’s attacker manipulated the exchange rate between ERC-20 tokens and htokens which allowed them to withdraw more tokens than they had originally deposited. The estimated losses of this attack is around $7.4 million.
— CertiK Alert (@CertiKAlert) April 15, 2023
Stay vigilant! https://t.co/1hxAnFoNjj
フラッシュローン攻撃は、ハッカーがレンディングプロトコルからフラッシュローン(担保なしの融資)として大量の資金を借り入れ、その資金を使って分散型金融(DeFi)プラットフォーム上の資産価格を操作するもの。ハンドレッド・ファイナンスの事件では、攻撃者がERC-20トークンとhTOKENSとの為替レートを操作し、元の預け入れ額よりも多くのトークンを引き出すことができたとCertikは説明している。同社はさらに次のように続けている。
「為替レートの計算式は、Cashという値を通じて操作された。Cashは、hBTCコントラクトが持っているWBTCの量だ。攻撃者は、大量のWBTCをhTokenコントラクトに寄付することで、為替レートを上げることに成功した。」
操作された為替レートで大量の融資が引き出されたとCertikは述べ、ハンドレッド・ファイナンスは事件についての詳細報告を準備している。
この攻撃は、昨年Gnosis Chainでハンドレッド・ファイナンスが別の攻撃にさらされてからほぼ12ヶ月後に発生したものだ。当時、ハッカーはリエントリ攻撃を使ってプロトコルの流動性をすべて奪い、600万ドル以上が失われた。同じ攻撃で、ハッカーはAgaveプロトコルからも資金を盗んだ。
昨年以降、フラッシュローン攻撃を利用した犯罪者がDeFiプロトコルを標的にしている。最近の事例では、オイラー・ファイナンス(1億9600万ドル)やマンゴー・マーケッツ(4600万ドル)が攻撃を受けた。オイラー・ファイナンスのハッキングでは大半の資金が返還されたものの、マンゴー・マーケッツの窃盗犯は米国当局に逮捕された。
翻訳・編集 コインテレグラフジャパン