2400万ドルが流出、DeFiの弱点を突いた手口とは?──攻撃者は一部を返却

DeFi(分散型金融)プロジェクトのハーベスト・ファイナンス(Harvest Finance)の弱点を突いた裁定取引が発端となり、約2400万ドル(約25億円)相当のステーブルコインが10月26日、同プロジェクトのプールから流出した。コインゲッコー(CoinGecko)の調査でわかった。

アタッカー(攻撃者)は、フラッシュローン(利用者がデメリットなく大きなレバレッジを活用できる無担保ローンの一種)を利用して価格を操作し、利益を上げたと伝えられている。

攻撃によってハーベスト・ファイナンスの預かり資産(TVL)は攻撃前の10億ドル(約1050億円)超えから、当記事執筆時点では4億3000万ドル(約450億円)に減少し、同プロジェクトのネイティブトークン「FARM」の価格は1時間たらずで65%下落した。

関連記事:1週間に2度の攻撃で1億円超──DeFiレンディングを悪用、その手口とは?

攻撃から12時間で大幅に減少したハーベスト・ファイナンスの預かり資産推移
出典:DeFi Pulse

攻撃は暗号資産コミュニティでよく知られた人物

流出した資産は最終的にビットコイン(BTC)に交換されたが、それはイーサリアムミキシングサービス(監視や追跡の可能性からプライバシーを守るサービス)の「Tornado Cash」を通したあとだった。

暗号資産がミキシングされたことで、ハーベスト・ファイナンスのチームは情報を掴むことができた。

ハーベストによると、攻撃を行った人物は「暗号資産(仮想通貨)コミュニティではよく知られた」人物で、「個人を特定できる情報をかなり大量に」残した。この人物の資産が保有されている7つのビットコイン・ウォレットもすべて特定されている。

ハーベストを支える匿名の開発者たちは、この人物の個人情報をインターネット上に晒すことは望んではいないが、資産を送り返すよう説得するために、10万ドル(約1050万円)を提示している。

「アタッカーへ:あなたの実力は証明されている。資産をユーザーに返してもらえれば、多くの第三者を含めてコミュニティは大いに感謝するだろう」とチームはメッセージを送った。

DeFiへのフラッシュローン攻撃

データサイトのイーサスキャン(Etherscan)によると、攻撃そのものは、DeFiプロトコルのユニスワップ(Uniswap)、カーブ・ファイナンス(Curve Finance)、ハーベスト・ファイナンスの間での一連の裁定取引だ。

攻撃者はまず、ユニスワップから5000万ドル(約52億円)をUSDコイン(USDC)のフラッシュローンで引き出した。その後、USDコインとテザー(USDT)の間でスワップ取引を行い、2つのトークン価格を大きく変動させた。

「ハッカーではない。単なるシンプルなハーベスト・ファイナンスでの、利益たっぷりの裁定取引」

ハーベスト・ファイナンスでのテザー価格は、攻撃者がスワップ取引を繰り返すにつれて下落を始めた。攻撃者はその後、割安となったテザーをフラッシュローンで引き出したUSDコインを交換。これを何度か繰り返した。

データサイトのゼリオン(Zerion)によると、スワップ取引を行った後、USDコインはイーサリアム(ETH)に変換された。イーサリアムはトークン化されたビットコイン(WBTCやrenBTCなど)に変えられ、そして最後にビットコイン(BTC)に変えられた。

興味深いことに、約250万ドル(約2億6000万円)がハーベスト・ファイナンスに送り返されてきた。開発者チームは、このお金は被害を受けたユーザーに分配されると述べた。コインゲッコーによると、FARMトークンの価格は少し回復し、24時間で24%安の126.82ドル(約1万3300円)となった。

DeFiプロジェクトに対するフラッシュローンを使った似たような攻撃は2020年初めにもあった。レンディング・プラットフォームのbZxは2月、DeFiプロジェクトとして初めてフラッシュローンを悪用した攻撃を受けている。

翻訳:山口晶子
編集:増田隆幸、佐藤茂
画像:DeFi Pulse
原文:Harvest Finance: $24M Attack Triggers $570M ‘Bank Run’ in Latest DeFi Exploit
(編集部より:タイトルの金額を訂正して、記事を更新しました)