ステークDAOで5.4兆vsdCRVが不正ミント、秘密鍵侵害の可能性

渡邉洋輔
ニュース

Stake DAOで5.4兆vsdCRVが不正ミント

分散型金融(DeFi)プロトコルのステークDAO(Stake DAO)でvsdCRVの不正ミントが発生した。同プロトコル公式Xでは、5月27日に状況を認識しているとしたうえで、ユーザーに対しvsdCRVとの取引を行わないよう呼びかけている。

ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)によると、攻撃者はアービトラム(Arbitrum)上で約5.4兆vsdCRVをミントしたという。

またセキュリティ企業ペックシールド(PeckShield)は、攻撃者が不正にミントしたvsdCRVの一部を43.781ETHへ交換した後、イーサリアム(Ethereum)へブリッジしたと分析している。

なおvsdCRVは、分散型取引所(DEX)カーブファイナンス(Curve Finance)のガバナンストークン「CRV」をステークDAO上で運用する際に利用される派生トークンだ。ユーザーはCRVをステークDAOへ預けることでsdCRVを受け取り、その運用やガバナンス戦略に利用できる。vsdCRVは、ガバナンス投票の影響力を高める仕組みの中で利用されている。

その後ステークDAOチームは、初期調査の結果として、権限のない第三者(攻撃者)がアービトラム上でvsdCRVをミントしたとXで報告した。

同プロトコルによると、コントリビューターはメインネット上のvsdCRVの裏付け資産を保護するとともに、vsdCRVブリッジを停止したという。これにより影響範囲はアービトラムに限定されたとのこと。

また現時点の評価では、「ブーステッド・イールド(Boosted Yields)」、「リキッド・ロッカーズ(Liquid Lockers)」、「ボートマーケット(Votemarket)」、および「モルフォ(Morpho)」上のStake DAOレンディングは影響を受けていないという。一方で、アービトラム上のasdCRVラマレンド(Llamalend)市場については終了手続きに入ったと説明されている。

ステークDAOは、法執行機関およびセキュリティパートナーと連携して調査を進めているとした。

ブロックエイドは今回の根本原因について、ステークDAOのデプロイヤー秘密鍵が侵害された可能性があると伝えている。

同社によると、攻撃者はその秘密鍵を利用して、vsdCRVのクロスチェーン発行に利用されているレイヤーゼロ v2(LayerZero v2)の設定を変更したとのこと。

本来アービトラム側のvsdCRVは、正規のイーサリアム側コントラクトから送られるメッセージのみを信頼する仕組みとなっている。しかし攻撃者は、この信頼先を自身が展開したコントラクトへ変更したという。

その後、攻撃者は自身のコントラクトから偽のクロスチェーンメッセージを送信し、約5.4兆vsdCRVを不正にミントしたとブロックエイドは分析している。

なお、これらの内容はブロックエイドによる初期分析に基づくものであり、ステークDAOは記事執筆時点で攻撃経路の詳細については公表していない。

参考:コインゲッコー
画像:PIXTA

関連ニュース

関連するキーワード

この記事の著者・インタビューイ

渡邉洋輔

「あたらしい経済」編集部 記者 ブロックチェーンおよびデジタル資産分野を専門とし情報発信を行っている。オンチェーンデータや流動性構造など、市場設計の観点からのリサーチにも取り組んでいる。

合わせて読みたい記事

【5/29話題】Suiのネットワークが一時停止、OasysのL2「HOME Verse」終了へ、米国初のBNB現物ETFが上場など(音声ニュース)

ブロックチェーン・仮想通貨(暗号資産)・フィンテックについてのニュース解説を「あたらしい経済」編集部が、平日毎日ポッドキャストでお届けします。Apple Podcast、Spotify、Voicyなどで配信中。ぜひとも各サービスでチャンネルをフォロー(購読登録)して、日々の情報収集にお役立てください。

あたらしい経済ポッドキャスト

 広告
最新の記事をさらに見る >