分散型取引所(DEX)として知られるレベルファイナンス(Level Finance)は1日、ハッキング被害に遭い同取引所のネイティブトークンであるレベルファイナンス(LVL)トークンを100万ドル分(約1億3700万円)以上盗まれたと発表した。
レベルファイナンスは2万人のツイッターフォロワーに対し、同取引所のLVLトークンが21万4000枚以上流出したことを知らせた。
An exploit targeted our Referral Controller Contract.
— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023
- 214k LVL tokens drained to exploiters address.
- Attacker swapped LVL to 3,345 BNB
- Exploit was isolated from other contracts.
- Fix to be deployed in 12 Hrs.
- LP's and DAO treasury UNAFFECTED.
More details to follow.
「リファーラルコントローラーコントラクト(Referral Controller Contract)が標的とされ、21万4000枚のLVLトークンが犯人のアドレスに流出した。攻撃者はLVLを3345BNBに交換。その他のコントラクトとは切り離された侵害であり、12時間以内に対策が講じられる。LP(流動性プロバイダー)およびDAO(分散型自律組織)の財務状況には影響なし」とした。
It seems the @Level__Finance's LevelReferralControllerV2 contract has a bug that allows for repeated referral claims from the same epoch. So far 214k LVLs have been drained and swapped into 3,345 BNB (~1M)
— PeckShield Inc. (@peckshield) May 1, 2023
Here is an example hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
バイナンスチェーンエクスプローラーである「BSCスキャン」のデータによると、過去48時間にわたり「クレームマリチプル」機能の呼び出しがv2コントローラーコントラクトによって行われている。
ブロックチェーンセキュリティ会社DeDotFiSecurityによると、レベルファイナンスは「リファーラルプログラムを一時的に停止し」悪用を止めたと述べている。
レベルファイナンスはDiscord上で、今回のセキュリティ侵害は他のコントラクトとは関連していないものの、「完全な事後検証のために待機する」ようユーザーに促している。
引き続き、DeFiとよばれる分散型取引所の使用には細心の注意をもって挑みたい。