Curve Financeでエクスプロイト発生

DeFi（分散型金融）プロトコルのカーブファイナンス（Curve Finance）提供の流動性プールがハッキングを受け、約100億円（約7,000万ドル）規模のエクスプロイト（不正流出）被害が7月31日に発生した。

今回ハッキング被害を受けた流動性プールは、ジェーペグド（JPEGd）の「pETH-ETH」プール、メトロノーム（Metronome）の「sETH-ETH」プール、アルケミクス（Alchemix）の「alETH-ETH」プール、カーブファイナンスの「CRV-ETH」プールだ。なお、これらのプールに預け入れられた全銘柄が被害にあったという。

ハッキングの原因については、EVM互換ブロックチェーンでスマートコントラクトを開発するためのプログラミング言語「Vyper（ヴァイパー）」の特定のバージョンに含まれていた脆弱性を突いた「リエントランシー（再入）攻撃」によるものだと分かっている。

なお脆弱性があるのは「Vyper」のバージョン0.2.15、0.2.16、および0.3.0であり、これらを使用して作成されているスマートコントラクトは被害を受ける可能性があるという。BNBチェーンでもすでに同様の攻撃が行われており、約120万円（約8.6万ドル）のハッキング被害が報告されている。

なお「リエントランシー攻撃」は、スマートコントラクト内の関数実行中に別の関数の実行を割り込ませるなどして、何度も引き出しや送金の実行を行うものである。ほとんどのDeFiプロトコルのハッキング被害は、この「リエントランシー攻撃」によるものだ。

通常、流動性プールなどのスマートコントラクトは、「リエントランシーロック」というモジュールを使用して、「リエントランシー攻撃」を防いでいる。今回のハッキングは「リエントランシーロック」が正常に動作しない不具合を突いたものであるとのことだ。

なおカーブファイナンスはツイッターにて、先日同プロトコルが発行した米ドルステーブルコイン「crvUSD」やそれに付随したプールは被害を受けないと述べている。

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) July 30, 2023

関連ニュース

• クロスチェーンプロトコル「Multichain」、ハッキングで約1.25億ドルの資金流出
• Curve Finance、ステーブルコイン「crvUSD」発行担保として「wstETH」サポート開始
• Curve Financeがステーブルコイン「crvUSD」発行、スクリプトのミス発見も再デプロイで対応済み
• DeFiプロトコル「Curve Finance」、イーサL2「zkSync2.0」でローンチへ
• DEXのCurve、イーサリアムL2のOptimismに100万OP配布を申請

デザイン：一本寿和
images：iStocks/WhataWin

参照元：ニュース – あたらしい経済