DeFiプラットフォーム「カーブ・ファイナンス」が大規模な不正アクセスを受け、1億ドルの資産が危険にさらされる

予備的な監査によれば、損失額はすでに4200万ドルを超え、1億ドル相当の資産がリスクにさらされている。

Uniswapに次ぐイーサリアムベースの第2位の分散型取引所（DEX）であるCurve Financeが、7月30日（日）に大規模なエクスプロイトに見舞われた。このエクスプロイトは、同社のプログラミング言語Vyperの脆弱性によって典型的に発生した。

Vyperで発見された「リエントランシー」バグにより、合計1億ドル相当のデジタル資産が危険にさらされている。ハッカーはまた、多くの異なるDeFiサービスの価格設定と流動性に使用されているプラットフォーム上の他のステーブルコインプールを流出させた。Curve Financeの公式発表にはこうある：

「Vyper 0.2.15を使用している多くのstablepools(alETH/msETH/pETH)が、リエントランシーロックの誤動作の結果として悪用されています。現在状況を調査中で、進展があればコミュニティに報告します。他のプールは安全です。」

現時点では、この攻撃によってCurveから流出した正確な金額は不明のままだ。ブロックチェーンの監査会社であるBlockSecは予備的な分析を行い、ツイッターで言及されたように、損失総額は4200万ドルを超えると推定した。

Curveのウェブサイトによると、232の異なるプールが運営されているが、Vyperのバージョン0.2.15、0.2.16、0.3.0を利用するプールだけがこの攻撃に脆弱であると、チームのメンバーであるmimaklasがDiscordのアナウンスで明かした。Mimaklasはさらにこう付け加えた:

「影響を受けたプールはすべて排水されたか、ホワイトハッキングされた。”チームは影響を受けたチームと状況を確認している。」

カーブ・ファイナンス（CRV）、悪用され価格が17％下落

この問題が表面化して以来、Curve FinanceのCRVトークンは約15％の下落を経験し、現在約63USセントで取引されている。CRVは分散型融資プラットフォームであるAaveの担保として利用されている。CRVの下落にもかかわらず、GauntletのChitra氏は、Aaveプラットフォーム上で「不良債権」の兆候はないと言及した。CoinGeckoのデータによると、過去24時間で、Aaveのトークンも約4％減少している。

Curve Financeの事件は、より広範なクリプト通貨市場全体に売り圧力をかけている。著名なデジタル資産であるビットコインとイーサは、潜在的な広範な影響への懸念からわずかな変動を経験した。しかし、その後は安定し、ビットコインは約29,450ドル、イーサは1,870ドルで安定している。

2022年、ハッカーは38億ドル相当のクリプト通貨を盗み、Curve Financeは被害を受けた組織のひとつだった。このような事件の頻度は減少したものの、セキュリティ侵害のリスクは分散型金融（DeFi）における懸念事項のままである。DeFiは、取引や融資などの活動をブロックチェーンベースのスマートコントラクトに依存している。

本記事は下記出典元の許諾の上、翻訳版記事を掲載しております。

source