「監査済み」の言葉の重みはどこへ
分散型金融(DeFi)プロトコルの「Conic Finance」が、21日から2度にわたりハッキングされ、2つのオムニプールから合計約5億円のユーザー資金が盗まれた。現在、全てのプールへの入金は停止され、出金のみが可能となっており、調査が進められている状況だ。
Conic Financeは、今年3月1日に稼働を開始した比較的新しいプロトコルだ。ユーザーが資金を預けると、Conic Financeが自動的にCurve Finance全体で運用をしてくれ、ユーザーは少ない手間で効率的に運用できる。このプロトコルには稼働直後から6000万ドル(約85億円)以上の資金が預けられ、ハッキング直前には1億ドル(約140億円)を超える資金が預けられていた。
注目したいのは、Conic Financeは、ブロックチェーンセキュリティ企業「PeckShield」による監査を受け、比較的安全とされたいたが、このような事態となってしまった。この事件を受けてPeckshieldは声明を発表した。
悪意のある TX からの最初の分析に基づくと、根本原因は新しい CurveLPOracleV2 コントラクトにあることがわかります。
私たちの監査により、同様の読み取り専用の再入可能の問題が特定されました。ただし、監査範囲の一部ではなかった、新しく導入された CurveLPOracleV2 契約でも同じ問題が発生します。
つまり、監査範囲外で起きたわけだ。
このような事例は、初めてではない。今年4月には、zksync上のDEX「Merlin」が、同じく監査済みであるにもかかわらずハッキングされ、100万ドル(約1.3億円)以上のユーザー資金が盗まれた。
関連:zkSync上のDEX「Merlin」、ハッキング被害|100万ドル以上が流出
ブロックチェーン分析企業Chainalysisによると、昨年は暗号領域において「ハッキング被害額が過去最大の年」となった。そのほとんどは、DeFiを標的にしたものだった。
関連:秘密鍵漏えい・フィッシング攻撃による暗号資産ハッキング多発
