ハッカーがGMXに約59億円返還
分散型パーペチュアル(無期限)先物取引所「GMX」のバージョン1(V1)で発生したハッキング事件の攻撃者が、盗んだ暗号資産(仮想通貨)の大半を返還し始めた。ブロックチェーンセキュリティ分析企業ペックシールド(PeckShield)が、トランザクションデータを引用する形で7月11日にXで報告した。
ペックシールドによれば、攻撃者は約1万イーサリアム(ETH)および合計約1,050万フラックス(FRAX)を、複数回に分けて「GMX」の指定アドレスに返還した。
FRAXについては、約550万FRAXと500万FRAXが「GMX」へ送金されたことが確認されている。これらの返還資産は、「GMX」のセキュリティ委員会が管理するウォレットに保管されており、合計額は4,050万ドル(約59.6億円)相当にのぼる。なお同取引所から流出したのは、当時約4,200万ドル(当時約613億円)相当の資金だとされている。
なお今回の返還は、「GMX」が提示した「ホワイトハット報奨金」提案に応じたものとみられる。「GMX」は7月10日、盗まれた資産の90%が返還されれば、残り10%となる約500万ドル(約7.3億円)を報奨金として提供することを提示した。この報奨金は、攻撃者が合法的かつ自由に使用可能であると明言された。
またペックシールドによると、攻撃者は7月11日に「GMX」に対し、イーサリアムのトランザクションメモ欄を通じて「わかりました。資金は後で返金されます(ok, funds will be returned later)」とオンチェーンメッセージにて送信している。それから攻撃者による「GMX」への返還が始まったとされる。
さらに「GMX」は、被害を受けたユーザーに対しては同取引所の財務基金から差額の補填を検討しているとのこと。補填が必要な場合は、「GMX」DAOによる意思決定プロセスを経て決定される予定だという。
攻撃者は7月9日、「GMX」V1のアービトラム(Arbitrum)上にある「GLP(GMX Liquidity Provider)プール」から資金を抜き取り、未知のウォレットアドレスに送金。その後、攻撃者はUSDCからETH、さらにダイ(DAI)へと資金を移動させ、数百万ドル相当のFRAX、ラップドビットコイン(WBTC)、ラップドイーサリアム(WETH)などの暗号資産も盗み出した。
「GMX」チームは攻撃の発覚を受け、「GMX」V1での取引およびGLPトークンの発行と償還機能を、アービトラムとアバランチ(Avalanche)の両チェーンで緊急停止した。これは追加の攻撃経路を防ぎ、ユーザーへのさらなる悪影響を保護するための措置だと説明されている。
なお「GMX」チームは、新バージョン「GMX」V2について「GMX」V1と同様の脆弱性が存在するかを調査した結果、「GMX」V2では問題が発生しないことを確認したとのことだ。
参考:PeckShield
画像:iStocks/LuckyStep48