パンケーキスワップのOLPC/LABUBUプールで約110万ドル被害、OLPCトークン機能悪用か

渡邉洋輔
ニュース

パンケーキスワップ上の特定流動性プールで約110万ドル流出

BNBチェーン(BNB Chain)上の分散型取引所(DEX)パンケーキスワップ(PancakeSwap)上に展開された「OLPC/LABUBU」ペアの流動性プールが攻撃を受け、約110万ドル(約1.77億円)の被害が発生した。オンチェーン分析企業ペックシールド(PeckShield)が6月20日に報告した。

ペックシールドによると、攻撃者は流出資金をイーサリアム(Ethereum)へブリッジし、633.4ETHをトルネードキャッシュ(Tornado Cash)へ入金したという。

パンケーキスワップ公式Xアカウントは同日、初期調査の結果として同社のスマートコントラクトに問題は確認されていないと発表した。同チームは現在も調査を継続しているという。

セキュリティ企業エックスヴァル(ExVul)は、同社Xアカウントで今回の攻撃について、パンケーキスワップ自体ではなく、OLPCトークンのバーン(焼却)処理が関係している可能性を指摘している。エックスヴァルによると、攻撃者はOLPCトークンのバーン機能を悪用し、流動性プール内の資産残高と内部管理情報との間に大きな乖離を発生させた可能性がある。その結果、攻撃者は不正に有利な条件で資産を取得し、約111万ドル(約1.79億円)の資金を流出させたとみられる。またエックスヴァルによると、攻撃者は取得した資産を最終的に約111.6万USDTへ交換したという。同社は、攻撃者の利益を約96万ドル(約1.55億円)と推定している。

また、分散型金融(DeFi)セキュリティ企業スローミスト(SlowMist)の創業者であるユー・シェン(Yu Xian、通称Cosine)氏も、OLPC/LABUBUプールの深刻な不均衡が被害につながったとの見方を示している。コス氏の分析によると、攻撃のおよそ46日前にOLPCトークンの「decimalsValue」と呼ばれる設定値が極端に大きな値へ変更され、その後コントラクトのオーナー権限が放棄されていたという。

同氏は、この設定変更が今回の攻撃と関係している可能性があるとの見方を示している。ただし、現時点ではこの設定変更の意図や、開発者側の不正関与については断定されていない。

 

画像:PIXTA

関連ニュース

この記事の著者・インタビューイ

渡邉洋輔

「あたらしい経済」編集部 記者 ブロックチェーンおよびデジタル資産分野を専門とし情報発信を行っている。オンチェーンデータや流動性構造など、市場設計の観点からのリサーチにも取り組んでいる。

合わせて読みたい記事

フランクリンテンプルトン、株式配当をビットコイン関連投資に再投資する指数連動ETF2本を申請

米大手資産運用会社フランクリン・テンプルトン(Franklin Templeton)系のフランクリン・テンプルトンETFトラスト(Franklin Templeton ETF Trust)が、株式配当をビットコイン(BTC)配分に再投資する指数連動ETF(上場投資信託)2本に関するフォームN-1A(Form N-1A)の事後効力発生修正届出書を、米SEC(証券取引委員会)へ6月18日付けで提出した

一本寿和

 ニュース
最新の記事をさらに見る >