テスト中のプロジェクトから流出
構築中のブロックチェーンプロジェクト「eminence.finance」のコードの脆弱性が利用され、計1500万ドルに相当するステーブルコインDAIが流出したことがわかった。(29日 10:00〜10:30に発生)
Oh my… 8mm DAI sent back to the yearn deployer!?
what’s happening @AndreCronjeTech 🧐https://t.co/zLmpkmRFib
— BlueKirby.eth // YFI 🔥 (@bluekirbyfi) September 29, 2020
eminence.financeは人気DeFi(分散型金融)アグリゲーターyearn.financeの創設者Andre Cronjeが新たに立ち上げたプロジェクトだ。プロジェクト自体は正式ローンチ前の段階だった。
流出を受け、ガバナンストークンEminence(EMN)の価格は、0.01ドルから0.0001ドルまで急落。投資家やコミュニティメンバーに不安が蔓延した結果、Andreに関連する「YFI」トークンまで売られる事態となった。
事件の経緯
プロジェクトを担当するAndreは脆弱性による流出について、SNSで説明を行なった。
1/x First, the data;
1. Yesterday we finished the concept behind our new economy for a gaming multiverse. Eminence. As per my usual methodology, I deployed our staging contracts on ETH so we can continue developing on it.
2. Eminence is at least ~3+ weeks still away
— Andre Cronje (@AndreCronjeTech) September 29, 2020
説明によると、昨日ゲームにおけるエコシステムのコンセプトを完成させ、実際の開発のためにイーサリアムでスマートコントラクトを稼働させ、SNSでゲームのグラフィックデザインなどを部分公開していた。
しかしその後、コントラクトに先んじて入金された計1500万ドルに相当する資金を無担保融資である「フラッシュローン」の脆弱性を悪用されて引き出され、うち800万ドル分がAndreに送られたという。
800万ドルの資金はハッキング前のスナップショット記録に応じて、所有者たちに返還する予定だ。
As I am receiving a fair amount of threats, I have asked yearn treasury to assist with refunding the 8m the hacker sent. The multisig is safer and as such I feel more comfortable with them having the funds. Funds will be returned to holders pre-hack snapshot. https://t.co/wbputn5hYD
— Andre Cronje (@AndreCronjeTech) September 29, 2020
ゲーム開発自体はこれからも継続し、ローンチまで3週間以上かかる見通しとしている。
未完成コードのリスク
なぜ、未公開のゲームでありながら大金が入金されたのか、デリバティブ取引所FTXのCEOを務める、通称SBFは、次のように分析を行なった。
1) Alright so here’s what I gather happened with EMN:@AndreCronjeTech was working on a new protocol. It was still in the testing phase, not ready to be released, in case e.g. it had bugs. He hadn’t yet vetted it.
It did, in fact, have an exploit https://t.co/lvvfhnm2OQ
— SBF (@SBF_Alameda) September 29, 2020
YFIトークンは、AndreのDeFiプロジェクト第一弾として大成功を収めたため、多くの投資家はDeFiセクターでの信頼を得ているAndreの次のプロジェクトを望んでいた。
今回の件は、Andreが正式告知する前に、一部投資家がeminenceのページやコードを発見。FOMO(取り残されることへの恐れ)心理でEMNを買い漁り、Uniswapの流動性プールに大量の資金を投じたことが背景にある。
これまでYam(芋イールドファーミング)などでも起きていたように、テストが済んでいないスマートコントラクトには脆弱性が存在するリスクが高い。教訓として、安全なコードが証明されるまで大量の資金を入金することは推奨されない。
画像はShutterstockのライセンス許諾により使用