バランサー、事前の警告にもかかわらずセキュリティ脆弱性により90万ドルを失う

攻撃者はDaiステーブルコインを2回送金することに成功した。最初の送金は636,812ドル、その後の送金は257,527ドルで、合計で約900,000ドルが盗まれた。

バランサーは悪用された脆弱性の犠牲になり、攻撃者が個人的な金銭的利益のためにプロトコルを操作できるようになった。この悪用により、ハッカーはブロックチェーンから約90万ドルを持ち逃げすることができた。

攻撃後に資金が送金されたとされる攻撃者のイーサリアムアドレスは、ブロックチェーンセキュリティの専門家Meier Dolevによって発見された。入手した情報を分析したところ、攻撃者はDai安定コインを2回送金することに成功していたことが明らかになった。最初の送金は636,812ドル、その後の送金は257,527ドルで、合計で約900,000ドルが盗まれたことになる。

脆弱性を緩和するためのバランサーの迅速な対応

攻撃に先立ち、バランサーは流動性プールのいくつかに影響を及ぼす脆弱性を特定し、影響を受けたプール内の流動性プロバイダーに対し、資金を引き出すか、少なくとも安全な流動性プールに移すよう速やかに警告を発した。しかし、攻撃者はこの脆弱性を悪用し、迅速な対応ができなかった一部のプロバイダーを攻撃した。

この脆弱性が公表された8月22日の時点では、まだ悪用されていない。プラットフォーム上のクリプト通貨資産約6億6900万ドル相当のTotal Value Locked（TVL）の4％が危険にさらされていることが確認された。また、イーサリアム、Arbitrum、Polygon、Avalanche、Gnosis、Fantom、zkEVMなどのプールの資産も含まれていた。

開発者チームは迅速に対処し、主要な脆弱性の80％を緩和し、潜在的な影響を抑制することに成功した。8月23日現在、このセキュリティ問題を利用した攻撃者はいなかったが、それでも推定560万ドル相当のクリプト通貨が悪用される可能性が残っていた。

流動性プロバイダーに通知するため、開発者は特定のプールを「緩和済み」、一部を「リスクあり」に分類し、資金を引き出すか、より安全なプールに移すようユーザーに通知した。彼らは言った：

「緩和されたプール（”緩和された “と表示）のファンドは安全であると考えますが、それでも安全なプールへの適時の移行、または撤退を強く推奨します。緩和されなかったプールには “リスクがある “と表示されています。これらのプールのLPであれば、直ちに退出してください。」

これらの集団的対策により、顧客資金に対する攻撃の影響は大幅に最小化された。盗まれた90万ドルは、より広範なプロトコルの文脈では控えめに見えるかもしれないが、その軽微さはひとえに積極的な行動によるものである。

DeFiにおけるセキュリティ問題

DeFiはブロックチェーン領域に革新的な金融ソリューションを導入した一方で、バランサーの事例で明らかなように、スマートコントラクトの脆弱性や流動性プールの悪用といったセキュリティ上の課題にも遭遇している。その結果、警戒を維持することが不可欠となっている。DeFiプロトコルはまた、脆弱性を迅速に特定し対処するために、セキュリティ専門家と継続的に協力する必要がある。結論として、安全なエコシステムを確立するためには、ベストプラクティスと多様なセキュリティ基準の遵守が不可欠であることに変わりはない。

本記事は下記出典元の許諾の上、翻訳版記事を掲載しております。

source