Sushiで4億円規模のハッキングが発生

分散型取引所（DEX）の「スシ（Sushi）」が4月9日にスマートコントラクトの脆弱性を突いた330万ドル（約4億円）規模のハッキング被害を受けた。

なお今回のハッキングでは流動性プールは被害を受けておらず、「スシ」のユーザーのウォレットから資金が流出した形となった。

流出した資金のほとんどは1人のユーザーのものであることが分かっており、流出資金のうち100ETHはスマートコントラクト監査を提供するブロックセク（BlockSec）によって回収され4月10日に返還されたことが分かっている。

また「スシ」は4月10日に「すでに脆弱性のあったスマートコントラクトを取り除いており、現在ハッキングによって流出した資金の回収と被害を受けたアドレスの特定を行っている」と公式ツイッターにて表明。また回収した資金を被害者に返還するための計画を策定しているという。

今回ハッキングを受けたスマートコントラクトは、「スシ」でスワップを行う際に利用される「RouterProcessor2」だったという。なおその他のコントラクトについては被害を受けていないとのこと。

「スシ」のヘッドシェフであるジャレッド・グレイ（Jared Gray）氏はユーザーに対して、すべてのチェーンで該当するコントラクトをリボーク（Revoke）することを推奨している。

DeFi（分散型金融）のTVL（総預かり資産）や取引量などの情報を収集し公開しているDefi Llama（ディファイラマ）を開発する0xngmi氏は自身のツイッターで、ハッキングの被害を受け資金が流出する可能性があるのは4月9日から過去4日のうちに「スシ」を利用したユーザーのみであると語っている。またリボークの必要があるスマートコントラクトのリストも公開している。

リボークとはスマートコントラクトで行った承認（approve）プロセスを上書きする処理で、該当するスマートコントラクトでのトークン使用を不可能にするものだ。

なお現在ハッキングの混乱に乗じた偽アカウントを利用したなりすまし詐欺も出現しており、注意喚起がされている。

Update on the status of the RouteProcessor2 bug

A summary below on: what happpened, what the team is working on and what you can do.

Also, beware of fake DMs of scammers reaching out to you. SUSHI TEAM/SUPPORT DOES NOT DM FIRST.

Talk to us @ https://t.co/cGda2UVpAh

— Sushi.com (@SushiSwap) April 10, 2023

A 689 ETH MEV reward was sent to Lido as a result of the @SushiSwap exploit.

Sushi is actively working with the Lido team to return that payment.

Do you think validators should be liable to return MEV payments for hacks? https://t.co/dT7015YHQA

— Blockworks Research (@blockworksres) April 10, 2023

関連ニュース

• 米SECが分散型取引所「SushiSwap」運営のSushiに召喚状、Sushiは貢献者弁護用基金設立へ
• クラーケンがBNT、SUSHI、ANKRを上場
• 暗号資産預け入れサービス「ジェミナイ・アーン」にてDOGE、SUSHI、INJ、MATICのサポート開始
• 暗号資産ハッキング被害、昨年が過去最高の38億ドル、北朝鮮グループが主導か
• NFTプロジェクト「Azuki」の公式Twitterがハッキング被害、現在は復旧

デザイン：一本寿和
images：iStocks/LuckyStep48

参照元：ニュース – あたらしい経済