パンケーキスワップのOLPC/LABUBUプールで約110万ドル被害、OLPCトークン機能悪用か

パンケーキスワップ上の特定流動性プールで約110万ドル流出

BNBチェーン(BNB Chain)上の分散型取引所(DEX)パンケーキスワップ(PancakeSwap)上に展開された「OLPC/LABUBU」ペアの流動性プールが攻撃を受け、約110万ドル(約1.77億円)の被害が発生した。オンチェーン分析企業ペックシールド(PeckShield)が6月20日に報告した。

ペックシールドによると、攻撃者は流出資金をイーサリアム(Ethereum)へブリッジし、633.4ETHをトルネードキャッシュ(Tornado Cash)へ入金したという。

パンケーキスワップ公式Xアカウントは同日、初期調査の結果として同社のスマートコントラクトに問題は確認されていないと発表した。同チームは現在も調査を継続しているという。

セキュリティ企業エックスヴァル(ExVul)は、同社Xアカウントで今回の攻撃について、パンケーキスワップ自体ではなく、OLPCトークンのバーン(焼却)処理が関係している可能性を指摘している。エックスヴァルによると、攻撃者はOLPCトークンのバーン機能を悪用し、流動性プール内の資産残高と内部管理情報との間に大きな乖離を発生させた可能性がある。その結果、攻撃者は不正に有利な条件で資産を取得し、約111万ドル(約1.79億円)の資金を流出させたとみられる。またエックスヴァルによると、攻撃者は取得した資産を最終的に約111.6万USDTへ交換したという。同社は、攻撃者の利益を約96万ドル(約1.55億円)と推定している。

また、分散型金融(DeFi)セキュリティ企業スローミスト(SlowMist)の創業者であるユー・シェン(Yu Xian、通称Cosine)氏も、OLPC/LABUBUプールの深刻な不均衡が被害につながったとの見方を示している。コス氏の分析によると、攻撃のおよそ46日前にOLPCトークンの「decimalsValue」と呼ばれる設定値が極端に大きな値へ変更され、その後コントラクトのオーナー権限が放棄されていたという。

同氏は、この設定変更が今回の攻撃と関係している可能性があるとの見方を示している。ただし、現時点ではこの設定変更の意図や、開発者側の不正関与については断定されていない。

 

画像:PIXTA

関連ニュース

参照元:ニュース – あたらしい経済

コメント

タイトルとURLをコピーしました