2021年に1600万ドルのハッキング被害を受けたイーサリアムベースのプロジェクト、インデックスド・ファイナンス(Indexed Finance)は、2度のハイジャックを阻止することに成功した。同プロジェクトの分散型自律組織(DAO)の管理権は創設者に戻され、創設者は残りのトレジャリーを2021年のハッキングの被害者に割り当てることを目指している。
元コアコントリビューターであるローレンス・デイ氏は、X(旧ツイッター)のスレッドで、Indexed DAOの残りの財政を乗っ取ろうとする2度のハイジャック未遂に関してIndexed コミュニティの取り組みを詳細に説明した。攻撃者は、プロトコルのNDXトークンを大量に取得し、DAOの約12万ドルのデジタル資産を悪意のある提案を通じてコントロールしようとした。
最初の提案は、明らかに発覚を避けるためにタイトルや説明を欠いたものであったが、デイ氏と他のコミュニティメンバーがIndexed DAOの反対票を呼びかけ、阻止した。攻撃者の提案は1時間以内に承認に近づいたが、十分な「反対」票が投じられ、可決を阻止した。
Okay so here's what just happened to the Indexed DAO
— laurence, backed by paradigm (@functi0nZer0) November 25, 2023
The wreckage can be seen in the Tally panel below
This is a long thread, but I want to record it somewhere pic.twitter.com/wRTRZZcwhm
しかし、Indexedチームが提案に反対する投票を公に調整しなければならなかったため、デイ氏はコピーキャット攻撃の可能性を予期。さらに、デイ氏のスレッドで詳しく説明されているように、さらに脆弱性があると、DAOの財政が非友好的なコントロール下に置かれた場合、DAOの財政を超える資金が危険にさらされる可能性があった。
その後の攻撃の脅威を軽減するため、Indexed DAOは「毒薬」提案を承認し、必要に応じて残りの資金をバーンする権限を付与した。
予想された2回目の攻撃で攻撃者は当初、残りのトレジャリーの50%を要求してきたことがオンチェーンメッセージで明らかになった。Indexedの創設者であるディロン・ケラー氏はこれに対し、10000ドル相当のダイ(DAI)を提案し、攻撃者が拒否した場合は全てのトレジャリーをバーンすると警告した。
Kellar氏の最終通告まで残りわずかとなる中、攻撃者は17,000ドルでの反対交渉を試みた後に、当初の提案を受け入れ、悪意のある提案を撤回した。DAOの権限は、デイ氏、ケラー氏、匿名の共同創設者PR0が管理するマルチシグに戻り、2021年のハッキングの被害者には、残りのトレジャリーを使って補償する予定だ。