ユーザーが暗号通貨の価格変動に対して融資や投機を行うことができる分散型金融(DeFi)プラットフォームであるCream Financeが、悪意のあるハッカーから2900万ドル以上の暗号通貨資産を盗まれたことがわかりました。
同社は、ブロックチェーンセキュリティ企業のPeckShieldが継続的な攻撃に気づいてから30分後、ハッキングを確認しました。
Cream Finance社によると、ハッカーは同社の「フラッシュローン」機能の「リエントランシー攻撃」を利用して、418,311,571AMPトークン(ハッキング時の推定価格は約25億円=2,510万ドル)と1,308.09ETHコイン(推定価格は約4億円=415万ドル)を盗み出したとのこと。
「フラッシュローン」とは、Cream Finance社のユーザーが同社の資金からクイックローンを行い、後日返却することを可能にするEtheriumブロックチェーン上で実行される契約(スクリプト)のことを指します。
リエントランシー攻撃は、処理のバグにより、攻撃者が最初の取引が承認または拒否される前。または資金を返還する必要がある前に、ループ状に繰り返し資金を引き出すことができる場合に攻撃が成功します。
暗号通貨ウォレットアプリ「ZenGo」の創業者であるTal Be’ ery氏は、Cream Finance社のハッカーがCream Finance社が基盤となるEtheriumブロックチェーンとのやり取りに使用しているERC777トークンコントラクトインターフェースのバグを悪用したことを確認しました。
ERC777はDeFiのオンラインサービスに対していくつかのリエントランシー攻撃を可能にしているとのことで、この機能は不適切な実装やバグ、ハッキングの被害を何度も受けているにもかかわらず、存在し続けているとのことです。
CipherTrace社によると、2021年の主要なハッキングのうち、DeFi関連のハッキングは76%を占めており、ユーザーは2021年DeFiプラットフォームへの攻撃によって470億円=4億7,400万ドル以上の損失を被ったという。DeFiプロトコルへの攻撃のほとんどがフラッシュローンを採用していたと、同社は今月初めに発表したレポートで述べています。
Comments