DeFiハッキング被害が発見、損失合計16億円超

DeFiプロトコルのハッキングが相次ぐ中、3月15日には、Fantomブロックチェーン基盤のDeus Financeから暗号資産（仮想通貨）の不正流出が発覚した。またその数時間後には、AgaveとHundred Finance（Gnosisチェーン基盤）も巨額の損失を被ったことが報告された。

現在ハッキングの被害額は、Deus Financeが300万ドル（約3億5,500万円）、AgaveとHundred Financeの合計で1,100万ドル（約13億円）とみられている。同日に起こった一連のハッキングに共通しているのは、フラッシュローンが悪用され、資金が搾取されるというパターンだ。

Deus Finance

Deus Financeは、デリバティブやオプションなど、トークン化された金融商品の構築と発行が可能プラットフォーム。

ブロックチェーン・セキュリティ企業のPeckShieldによると、ハッカーは、フラッシュローンを利用し、Deus FinanceのステーブルコインDEIとUSDCペアの価格オラクルを操作。一部のユーザーの貸出ポジションが債務超過に陥る事態となり、DEI/USDCプールに流動性を提供していたユーザー資金が失われた。

ハッカーは盗んだ資金を暗号資産取引所Multichainを介して、200,000 DAI と1,101.8 ETHに交換。Etherscanのデータによると、犯人はその後、プライバシープロトコル「Tornado Cash」経由で、不正取得した全イーサリアムの資金洗浄を実行したようだ。

Deus Financeは、不正流出が発生した貸出契約の停止措置を講じる一方で、ネイティブトークンDEUSとDEIに影響はなかったと述べている。

この事件の1週間前、同じくFantom基盤のDeFiプロトコル「Fantasm Finance」で約3億円のハッキング被害が報告されていた。

AgaveとHundred Finance

AgaveとHundred Finance両プロトコルは、ともにGnosisチェーン上でのハッキングを受けたことで、現在、コントラクトを停止し状況の分析を急いでいる。

AgaveはDeFi融資プラットフォームAaveのフォークで、Gnosisチェーン上の融資プロトコル。Hundred Financeは、DeFi融資プラットフォームCompoundのフォークで、マルチチェーンのレンディング・プロトコル。Chainlinkのオラクルを採用している。

ブロックチェーン開発者でセキュリティ研究者のMudit Gupta氏は、「ハッキングの根本的な理由がGnosis上の公式なブリッジ・トークンが基準外のものであり、送金の度にコールが可能になるフックを装備している」点にあると主張。そのため、スマートコントラクトに何度も入り、送金操作などを繰り返すリエントランシー攻撃が可能になるとのことだ。

Gupta氏はAgaveとHundred Financeの開発チームの誤算は、このようなリエントリーが可能なトークンを利用したことだと述べている。両プロトコルのコードベースとなったAaveとCompoundではガバナンスチームが、リエントランシー攻撃を回避するため、メインネットに上場するトークンについては厳格な審査を行なっているという。

昨年12月に約35億円が不正流出したDeFiプロトコルGrim Financeのハッキングの原因となったのも、リエントランシー攻撃であったことが明らかになっている。