20億円相当のDAIが流出
分散型金融(DeFi)プロジェクトPickle Financeから、約2000万ドル相当(約20億円)の暗号資産(仮想通貨)DAIが流出したことがわかった。
Several aspects of the PickleJar controller have been patched.
This means that the PickleJars are now safe from the same attack vector . Deposits in other Jars may resume, but please refrain from depositing in the DAI Jar for now. A more detailed report will come shortly.
— Pickle Finance 🥒 (@picklefinance) November 22, 2020
この影響で、Pickle FinanceのPICKLEトークン価格は暴落。数時間で58%の価値を失った。
本日23日、Pickle Financeの公式アカウントは次のように知らせた。
PickleJarのコントローラー(コントラクト)は修復され、同様の攻撃をは防げる状態となった。Jarへの入金は再開可能であるが、DAIの入金は控えて欲しい。
Pickle Financeは、Yearn.financeと似たような仕組みで、さまざまなDeFiプロトコル間で資金移動させて利回りを最大化するイールドファーミングを提供する。「Jar(瓶)」とは、Compoundプロトコル(イーサリアム上の分散型レンディングプラットフォーム)を利用して作成された資金プールを指している。
pickle-finance-rektの解説によれば、Pickle Jarsは、本質的にYearnのyVaultのフォークであり、Jarは「コントローラー」と呼ばれるコントラクトによって制御されている。
不正流出被害
Pickle Financeの報告によると、今回のハッキング被害は、ここ数ヶ月に頻発していた「フラッシュローン」を悪用したものではない。
2020年11月22日 03:37AM(日本時間)に、「pDAI PickleJar」がハッキング(不正流出被害)に遭い、19,759,355DAIが盗まれた。その直後、ホワイトハットハッカーのグループとPickleのチームが状況を把握するための作業を開始。
2020年11月23日 00:15AM(日本時間)には、Pickle FinanceGovernanceマルチシグウォレットに対して、ハッキングコードを取り消す機能が付与された。その1分後、ハッキングに使用されたプロキシロジックをコントローラーから削除することに成功した。
Pickle側のチームは、まず最初のステップとして、トランザクションをリバースエンジニアリング(解析)し、攻撃を複製するコードを記述できるかについて確認した。数時間後、チームはハッキングがどのように実行されたかを理解したという。
極めて複雑な攻撃で、Pickleプロトコルの多くのコンポーネントが関係していたが、現在のところ、DAI以外の他の仮想通貨がリスクにさらされることはないとしている。
識者によると、上図のように三段階にも及ぶ複雑な手口が用いられており、偽のJarと本物のJarをすり替えるものだった。
DeFi市場で相次ぐ不正流出被害
20年夏頃に急速に拡大したDeFiのエコシステムはまだ不完全な部分があり、ハッキングなど不正流出被害も相次いでいる。
最近の事例としては、Value DeFi、Harvest Finance、Akropolis、Balancerの不正流出被害があり、数百万ドル規模の被害をもたらした。
被害を受けたValue Defiはプライベートオラクルを放棄してChainlink(LINK)オラクルを導入した。今後も安全に対する意識や技術が高まっていけば、中長期的なセキュリティ施策の向上が期待できる。
ビットコインが高騰する中、一時落ち着いていたDeFi市場は再び活性化している。TVL(DeFiに預け入れられた仮想通貨の総価値)は上昇を続けており、DeFi Pulseによると、14日に過去最高を更新し、現在は143億ドル(約1兆4830億円)ほどに達した。
画像はShutterstockのライセンス許諾により使用