DeFi「Balancer」から約30億円が不正流出、脆弱性発見で出金要請後に

Balancerから約30億円が不正流出

大手分散型取引所(DEX)のバランサー(Balancer)が、エクスプロイト被害を受けたことが8月27日に明らかになった。

スマートコントラクト監査サービス提供のベオシン(Beosin)運営の公式X(旧ツイッター)ベオシンアラート(Beosin Alert)が、バランサーの被害について報告しており、それについてバランサーも公式Xにて認めている。報告時点の被害額は約1.3億円(約90万ドル)だったが、現在その額は2,100万ドル相当(約30億円)にまで膨らんでいる。

なおエクスプロイトとは、資金の不正流出のこと。今回のエクスプロイトは、バランサーが以前に報告した脆弱性に対し攻撃されたものである。

バランサーは8月23日、同プロトコルの一部のプールに脆弱性を発見したとし、流動性プールからの資金の引き出しをユーザーに要請した。また同時に被害を受ける可能性のあるいくつかのプールの一時停止も発表した。

この脆弱性の被害を受ける可能性があるのはTVL(総預かり資産額)の1.4パーセントであるとしており、被害を受ける可能性のあるプールの参加者に向けて資金引き出しを容易にするツールも公開していた。

バランサーは8月25日上記の発表に続いて「当初脆弱だと思われていた流動性の 99.7% 以上が現在は安全です。この脆弱性は悪用されておらず、資金の損失も発生していません。ただし、TVL 総額の 0.08%(565,199 ドル)は依然としてリスクにさらされており、ユーザーはUIを使用して、できるだけ早く撤退するよう推奨します」と述べた。

しかしながら実際のエクスプロイトの被害額は、この額を大きく上回った。だがこれは被害を想定していなかったプールが被害を受けたわけではないとのことだ。

今回のエクスプロイトは、バランサーが一時停止できないプールが受けた被害であり、複数のフラッシュローン攻撃によるものであることが分かっている。またバランサーは、さらなる資金流出を防ぐためにユーザーに対し、引き続き資産の引き出しを呼びかけている。

なお8月29日12:20頃にベオシンアラートより被害額についてアップデート情報が報告されている。

その情報によると攻撃者は5つのアドレスに、イーサリアム(ETH)、ファントム(FTM)、オプティミズム(OPT)を不正流出させたとのことで、被害額は合計で2,100万ドル相当(約30億円)に及ぶとのことだ。

バランサーはガバナンストークンBALを発行しており、その希薄後時価総額は約493億円だ。なおエクスプロイトが原因とみられるトークン価格の下落は記事執筆時点(8/29 12:00)では起こっていない。

関連ニュース

デザイン:一本寿和
images:iStocks/koyu

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

和歌山大学システム工学部所属
格闘技やオーケストラ、茶道など幅広い趣味を持つ。
SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

合わせて読みたい記事

【4/12話題】ワールドコインのユーザー数が1000万人、メルカリのビットコイン取引サービス利用者数200万人など

ワールドコイン(WLD)、「World App」ユーザー数が1000万人突破、メルカリのビットコイン(BTC)取引サービス、利用者数200万人突破。サービス開始1年で、米サークル、ブラックロックのトークン化ファンド「BUIDL」を「USDC」に交換可能に、川崎重工とSettleMint、ブロックチェーン活用による品質管理の実証実験、GMOコイン、レバレッジ取引に6銘柄追加。ソラナ(SOL)やコスモス(ATOM)など、米ドルステーブルコイン「FDUSD」、Sui(SUI)上にローンチ、Bitfinex Securities、ヒルトンホテルへの資金提供としてエルサルバドル初のトークン化債券を導入、バイナンス、米当局と和解後にコンプライアンス遵守へ向け注力、新CEO語る、a16z crypto、ゼロ知識証明を用いたソリューション「Jolt」リリース、米クラーケン、アイルランドとベルギーで「モネロ(XMR)」上場廃止へ