レンディングサービス「Rho Markets」設定ミスにより1.2億円流出

JinaCoinの約束

JinaCoin(ジナコイン)は、株式会社jaybeが運営をおこなうWebメディアです。読者がより賢明な金銭的判断を下せるように努めています。私たちは編集の完全性を厳守していますが、この記事には企業からのPRが含まれている場合があります。ここでは、私たちのビジネスモデルについて説明します。

編集ポリシー

編集ガイドライン

JinaCoinの編集チームは、読者であるあなたに代わって記事を書いています。ここでは、私たちの編集ガイドラインと、私たちがどのようにお金を稼ぐかについての基本情報をご紹介します。

概要

編集部は、読者の信頼を大切にしています。私たちの目標は、読者が暗号資産(仮想通貨)や外国為替証拠金取引(FX)を最大限に活用し、人生のファイナンシャル・ジャーニーをナビゲートできるようにすることです。私たちは、読者に正確で偏りのない情報を提供する責任があり、それを実現するために編集基準を設けています。
私たちは、広告主と私たちの編集対象との間に明確な分離を維持しています。私たちの使命は、読者が経済的な面で最良の決断をするために、最高の情報を提供することです。

主要な原則

正確さ:私たちの編集チームは、コンテンツが私たちの高い基準を満たすように、記事を徹底的に見直し、事実確認を行います。当社は、正確な情報を提供する責任を真摯に受け止めており、編集部が作成した記事に誤りがあったり、誤解を招くような情報を掲載した場合は、訂正や説明を行います。JinaCoinの記事で不正確な情報を見つけた場合は、弊社お問い合わせフォームまでメールでご報告ください。

独立性:私たちは、編集内容が広告主の影響を受けないように、厳格なガイドラインに従っています。編集部は、広告主から直接報酬を受け取ることはありません。記事であれレビューであれ、信頼に足る確かな情報を得ることができると信じてください。

信頼性:編集部は、社内外の専門家に定期的にインタビューを行い、その引用をコンテンツに盛り込んでいます。さらに、社内外の情報源からデータなどを引用しています。すべての引用とデータは、信頼できる評判の高い情報源からのものです。また、外部の出版物からデータやその他の独自情報を引用する場合は、出典を特定し、またはリンクを張ります。

私たちのビジネスモデル

編集部は、広告主から直接報酬を受け取ることはありません。本サイトに掲載されている商品は、私たちに報酬を支払う企業からのものです。この報酬は、例えば、掲載カテゴリー内での掲載順など、本サイトにおける製品の掲載方法および掲載場所に影響を与える場合があります。しかし、この報酬は、当社が公開する情報や、お客様が当サイトで目にするレビューに影響を与えるものではありません。jinacoin.ne.jpは、すべての企業や利用可能なすべての商品を掲載しているわけではありません。私たちのビジネスモデルをについては、こちらで詳細をご覧いただけます。
広告掲載・提携について

Remodalサンプル

テキストテキストテキストテキストテキストテキストテキストテキストテキストテキストテキスト


目次

ハッカーは全額返金の意思を示すも、ローマーケッツが設定ミスを認め、対策を発表することを求めている

19日19時30分頃、イーサリアムのレイヤー2「Scroll(スクロール)」上のレンディング・プロトコル「Rho Markets(ローマーケッツ)」から、約1.2億円相当のUSDCおよびUSDTが流出した。ハッカーは過失を認め、全額返金の意思を示したものの、返金前にローマーケッツ側がミスを認めることと今後の対策を発表するよう求めている。

当社のプラットフォームで異常なアクティビティが検出され、現在調査中です。この間、プラットフォームを一時停止します。プールのほとんどは安全ですので、ご心配は無用です。調査の進捗状況については、・・・

19日19時46分頃(日本時間)、ローマーケッツ公式Xはこの問題について「異常なアクティビティが検出され、現在調査中です。この間、プラットフォームを一時停止する」とし、「プールのほとんどは安全ですので、ご心配は無用です」と述べていた。

それから2時間後、ブロックチェーンセキュリティ企業「Cyvers(サイバーズ)」は、価格オラクルへの不正アクセスを原因とするハッキングであると発表し、ハッカーはUSDCやUSDTなど約1.2億円相当を、複数チェーンにまたがって盗んだと報告していた。

またこの事件を受け、基盤となっている「スクロール」は、チェーンのファイナライズを一時停止した。

Scroll は、当社のエコシステム内での潜在的な脆弱性について通知を受けました。 RhoMarket チームと検証した後、協調的な対応を開始しました。状況を徹底的に評価するため、Scroll はチェーンの完了を一時的に延期することを決定しました。

一見すると悪意を持ったハッカーによる攻撃だと思われたが、21時59分頃(日本時間)、ハッカーはローマーケッツに対し「MEV botがRho Marketsのオラクルの設定ミスに気づきドレインしてしまった。全額返金する前に、設定ミスを認め、今後どのような対策をするのか発表してください」とオンチェーンメッセージを送った。

これについて、本記事執筆時点でローマーケッツは返事や声明を行っていない。

ハッカーがローマーケッツに送ったオンチェーンメッセージ
出典:ethscan

RHOチームの皆さん、こんにちは。MEV botは、価格オーラクルが誤設定されていたことで利益を得ました。
資金はユーザーのものだと理解しており、全額返金する用意があります。しかし、まずは、それがエクスプロイトやハッキングではなく、貴社側の設定ミスであったことを認めていただきたいと思います。また、今後このようなことが起こらないよう、どのような対策を取る予定なのかも教えてください。

(以下、2024年7月19日23時32分追記)

ローマーケッツの開発チームよりハッカーに返事が送られた。

ハッカーの要求に従い、価格オラクルの設定ミスを認め、徹底的なテストや、綿密なレビュープロセスなど4つの対策を提示した。

ローマーケッツからハッカーにへの返事
出典:ethscan

こんにちは、本日未明に発生した MEV インシデントについてのメッセージにお答えします。 まず第一に、皆様のご親切なご対応に感謝申し上げるとともに、このインシデントに対する弊社の責任を認めたいと思います。 弊社は Rho Markets プロトコルに新しい資産クラスである WBTC をデプロイしている最中で、以下の 2 つの問題が発生しました。
1.PriceOracleV2のマッピングの設定ミス(画像参照)。 基礎となるのはゼロのアドレスです。
2. さらに、ゼロトークンの価格オラクルをWBTCのものに設定することで、問題が発生しました。
このようなことが二度と起こらないようにするため、私たちは以下のステップを踏んでいます:
1. Tenderlyフォークでの徹底的なテスト:価格オラクルを更新する必要がある場合は、Tenderlyフォークでアップグレードをテストします。
2.綿密なレビュープロセス: 各ステップを入念にレビューし、コンフィギュレーション設定、プライスオラクル、その他の関連設定を検証します。
3. クリーンなデプロイ環境: 各デプロイとアップグレードにDockerを使用することで、デプロイ環境がクリーンであることを確認します。
4. 検証の強化: 弊社では、メインネットのデプロイメント前に、すべてのデプロイメントが正しいかどうかを検証するため、追加のパートナーシップを実施する予定です。
社内レビューを実施し、改善すべき点を特定しました。
また、何かお気づきの点がございましたらお知らせください。
よろしくお願いいたします。
ロー・マーケッツ・チーム

関連:インドの大手取引所WazirX、ハッキングにより2.4億ドル流出
関連:複数の仮想通貨サイトがハッキング被害|ドメインサービスが原因か

参考文献

最新情報を逃さないために、GoogleニュースでJinaCoinをフォローしよう!

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

JinaCoin編集部です。JinaCoinは、株式会社jaybeが運営する仮想通貨情報専門メディアです。
正確性・信頼性・独立性を担保するため編集ガイドラインに沿って、コンテンツ制作を行なっています。
一般社団法人 ブロックチェーン推進協会所属

目次