一旦避難を!
31日、大手分散型金融(DeFi)「Curve Finance」上の複数のプールがハッキングされ、ブロックチェーンセキュリティ企業「Blocksec」によると、総額約4100万ドル(約57億円)相当の資産が盗まれた。
関連:仮想通貨CRV(Curve Finance)とは?特徴と将来性、購入できる取引所を徹底解説
ブロックチェーンセキュリティ企業「Beosin」によると、被害を受けたのは、alETH/msETH/pETHプールで、原因は、Curveシステムの一部に使用されているプログラミング言語Vyperのリエントランシーバグであった。
リエトランシーバグとは、コントラクトの外部呼出しが中断され、完了する前に呼び戻された場合に発生する価格計算エラーを悪用した脆弱性だ。イーサリアムの実行の仕組みに起因していて特異性が高く、悪名高い脆弱性として知られている。
Vyper社は、バージョン0.2.15、0.2.16、0.3.0にリエントランシー・ロックの不具合による脆弱性があることを認めており、現在調査中である。
このハッキングで、CRVトークンは、一時約17%下落した。
出典:CoinMarketCap
Curve Financeは、効率的なステーブルコイン取引に最適化された分散型取引所(DEX)で、自動化マーケットメーカー(AMM)を使用して流動性を管理している。2020年1月にローンチされたCurveは、今や分散型金融(DeFi)現象の代名詞となっており、2020年後半に大きな成長を遂げた。
大丈夫かブロックチェーン業界
ここ数週間ハッキングが相次いでいる。EraLendは約4.7億円、Conic Financeは約5億円、いずれも安くない金額だ。
今回の事件の驚くべき点は、利用されていたVyperのバージョンがかなり古いものである点だ。ver.0.3.0は2021-10-4リリース、ver.0.2.16は2021-08-27、ver.0.2.15は2021-07-23と、2年も前のものだ。いくらオープンソースだからといって、基盤である言語のバージョン管理を怠るのはあまりのお粗末だ。
関連:Conic Financeハッキング被害|監査対象外の部分で起きていた
関連:zkSync Era上のDeFi「EraLend」、約4.7億円のハッキング被害
