アービトラムDEX「オスティウム」で約1800万USDC流出=ブロックエイド検知

Blockaidが約1,800万USDC流出を検知

分散型取引所(DEX)「オスティウム(Ostium)」において、約1,800万USDC(約29.2億円)が攻撃者によって引き出されるセキュリティインシデントを検知したと、ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)が7月15日に公表した。

オスティウムは、アービトラム(Arbitrum)上で現実資産(RWA)対象のパーペチュアル(無期限先物)取引を提供する分散型取引所(DEX)だ。株式やETF、株価指数、外国為替(FX)、コモディティなどの価格変動を対象とした取引が行える。

ブロックエイドによる公表後、オスティウム共同創業者のカレドラ(kaledora)氏およびオスティウム公式Xアカウントは、流動性プール「OLPボールト(OLP Vault)」でセキュリティインシデントが発生したことを認めた。公式Xアカウントによると、同プロトコルは取引を停止しており、法執行機関やセキュリティインシデント対応組織「SEAL 911」、外部セキュリティ企業と連携して原因究明と流出資金の追跡を進めているとのことだ。

今回被害を受けたOLPボールトは、流動性提供者がUSDCを預け入れ、OLPトークンを受け取るプール。取引の決済資金を保管する役割を担う。利益が発生した取引への支払いも同ボールトから行われるため、攻撃者は架空の取引利益をシステムに認識させることで、不正な支払いを受けていたとブロックエイドは説明している。

ブロックエイドによると今回の攻撃では、オラクルから受け取った価格情報をブロックチェーンへ反映する仕組みが悪用され、本来存在しない取引利益が生成されたという。具体的には、登録済みの「プライスアップキープ・フォワーダー(PriceUpKeep forwarder)」と、将来のタイムスタンプが付された認証済みオラクルレポート(future-dated authorized oracle reports)が利用されたとのことだ。

オラクルは、ブロックチェーンへ外部の価格情報を配信する仕組みだ。PriceUpKeepは、その価格情報の更新処理を自動で実行するプロセスの一部を担う。

価格オラクルを提供するレッドストーン(RedStone)共同創業者のマルチン・カジミェルチャク(Marcin Kazmierczak)氏は、自身のXアカウントで、利用された価格データはいずれも正しく電子署名されていたと説明した。そのうえで同氏は、オラクル自体ではなく、特権を持つ署名キーやキーパー(keeper)権限が悪用された可能性があると分析している。

またデルファイ・コンサルティング(Delphi Consulting)のテンペスト(tempest)氏も、今回のインシデントはフラッシュローンを利用した価格操作ではなく、オラクル関連インフラの権限悪用によるものとの見方を示した。

オスティウム公式Xアカウントは、取引停止中も既存ポジションは維持されている一方、新規取引やポジション変更はできない状態が続いていると説明した。証拠金は凍結された取引コントラクト内に保管されているとのことだ。取引再開時期や流出資金の回収状況については、調査の進展に応じて改めて公表するとのことだ。

参考:マルチン・カジミェルチャク氏(X)テンペスト氏(X)
画像:PIXTA

関連ニュース

参照元:ニュース – あたらしい経済

コメント

タイトルとURLをコピーしました