Curve Finance、ハッキング被害で約100億円の不正流出

Curve Financeでエクスプロイト発生

DeFi(分散型金融)プロトコルのカーブファイナンス(Curve Finance)提供の流動性プールがハッキングを受け、約100億円(約7,000万ドル)規模のエクスプロイト(不正流出)被害が7月31日に発生した。

今回ハッキング被害を受けた流動性プールは、ジェーペグド(JPEGd)の「pETH-ETH」プール、メトロノーム(Metronome)の「sETH-ETH」プール、アルケミクス(Alchemix)の「alETH-ETH」プール、カーブファイナンスの「CRV-ETH」プールだ。なお、これらのプールに預け入れられた全銘柄が被害にあったという。

ハッキングの原因については、EVM互換ブロックチェーンでスマートコントラクトを開発するためのプログラミング言語「Vyper(ヴァイパー)」の特定のバージョンに含まれていた脆弱性を突いた「リエントランシー(再入)攻撃」によるものだと分かっている。

なお脆弱性があるのは「Vyper」のバージョン0.2.15、0.2.16、および0.3.0であり、これらを使用して作成されているスマートコントラクトは被害を受ける可能性があるという。BNBチェーンでもすでに同様の攻撃が行われており、約120万円(約8.6万ドル)のハッキング被害が報告されている。

なお「リエントランシー攻撃」は、スマートコントラクト内の関数実行中に別の関数の実行を割り込ませるなどして、何度も引き出しや送金の実行を行うものである。ほとんどのDeFiプロトコルのハッキング被害は、この「リエントランシー攻撃」によるものだ。

通常、流動性プールなどのスマートコントラクトは、「リエントランシーロック」というモジュールを使用して、「リエントランシー攻撃」を防いでいる。今回のハッキングは「リエントランシーロック」が正常に動作しない不具合を突いたものであるとのことだ。

なおカーブファイナンスはツイッターにて、先日同プロトコルが発行した米ドルステーブルコイン「crvUSD」やそれに付随したプールは被害を受けていないと述べている。

関連ニュース

デザイン:一本寿和
images:iStocks/WhataWin

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

合わせて読みたい記事

【11/6話題】金融庁が外資交換業者の破綻時リスク対応で法整備か、SWIFTらのトークン化ファンド決済など(音声ニュース)

金融庁が国内資産の海外流出防止で法整備か、外資暗号資産交換業者の破綻時リスク対応で=報道、SWIFT・UBS・チェーンリンクら、トークン化ファンド決済のパイロットを完了、バイナンスにCow Protocol(COW)とCetus Protocol(CETUS)上場へ、米資産運用会社VanEck、EUで「ピスネットワーク(PYTH)」のETN提供開始、Phiが戦略的シードラウンドの資金調達を実施、Neoclassic Capital主導で、イーサリアム研究者ら、EigenLayerのアドバイザー辞任。中立性の懸念を理由に、台湾FSC、来年施行の規制に暗号資産上場に関する新基準導入へ=報道、クラーケン、豪州ホールセール顧客向けに暗号資産デリバティブ提供開始、21シェアーズが米SECに「XRP現物ETF」のS1申請書を提出、米国3例目、パクソス、シンガポール規制下のステーブルコイン「グローバルドル(USDG)」発行、「Global Dollar Network」ローンチも、米ドルステーブルコイン「FDUSD」、ソラナに対応へ

Sponsored

SWIFT・UBS・チェーンリンクら、トークン化ファンド決済のパイロットを完了

国際銀行間ネットワークシステムを提供するSWIFT(スウィフト)、大手資産運用会社UBSアセットマネジメント(UBS Asset Management)、ブロックチェーンデータプロバイダーのチェーンリンク(Chainlink)の3社が、Swiftネットワークを使用したトークン化ファンドの決済に関するパイロット版を完了させたと11月5日発表した