分散型金融（DeFi）プロトコルのステークDAOは27日、同プロトコルに関連するトークン「vsdCRV」が不正発行される攻撃が発生したことを受け、利用者に対して同トークンとのやり取りを避けるよう公式Xで呼びかけた。

攻撃はアービトラム上で発生、侵害した秘密鍵で悪意あるコントラクトへ信頼先を変更

今回の攻撃を検知したのは、ブロックチェーンセキュリティ企業ブロックエイドだ。同社は同日、ステークDAOのデプロイヤー秘密鍵が侵害されたことが原因との分析を示した。攻撃はアービトラム上で発生したとしている。

同社によると、攻撃者は侵害した秘密鍵を使い、vsdCRVコントラクトに設定されていた「LayerZero v2 OFT」の接続先を書き換えたという。本来であればイーサリアム側の正規コントラクト「vsdCRVOFTAdapter」が接続先となるところ、攻撃者が独自に展開した悪意あるコントラクトへと差し替えられた形だ。

この差し替えを足がかりに、攻撃者は偽のクロスチェーンメッセージを送信。5.4兆を超えるvsdCRVを不正に発行し、これをETHに交換したとされている。ブロックエイドは、悪意あるコントラクトの展開や接続先の変更、不正発行に関わる一連のトランザクション情報を分析の根拠として公開した。

カーブ・ファイナンスも関連市場の利用者に退出を勧告

今回の事態を受け、カーブ・ファイナンスも利用者への注意喚起に動いた。アービトラム上の「asdCRV LlamaLend」市場で預金やローンを保有している利用者に対し、予防措置としてできるだけ早くポジションを解消するよう呼びかけている。

カーブ・ファイナンスによれば、同市場は現時点では正常に機能しているという。ただし、vsdCRVの不正発行によって価格オラクルが不安定になった場合、利用者のポジションが意図せず清算されるリスクがあるとしている。

執筆時点で、ステークDAOから攻撃の影響範囲や損失額に関する詳細な発表は確認されていない。vsdCRVとのやり取りや関連市場でのポジション管理について、各プロトコルの公式発表を確認しながら慎重に対応する必要がありそうだ。

関連：StablRのEURR・USDRがデペッグ──ミント権限の乗っ取りで不正発行か
関連：ソーチェーン約17億円ハッキングの全容──攻撃者はDiscord参加から2週間で犯行に及ぶ