複数の分散型金融(DeFi)サービスを束ねて自動運用する「Summer Finance(サマーファイナンス)」がハッキング攻撃を受け、約600万ドル(約9.7億円)の暗号資産が流出した。フラッシュローンを利用した価格操作が原因とみられる。運営元は関連するスマートコントラクトを一時停止し、原因の究明を進めている。
フラッシュローンを用いた巧妙な攻撃プロセス
サマーファイナンスは、Aave(アーベ)、Morpho(モルフォ)、Spark(スパーク)などの主要プロトコルを統合したイールド・アグリゲーター(利回り最適化サービス)だ。独自の「Lazy Summer Protocol」により、複数のプロトコル間で資産を自動的にリバランスし、効率的に利回りを得る仕組みを提供している。
ブロックチェーンセキュリティ企業のCertiK(サーティック)によると、攻撃者はフラッシュローンで約6,540万ドル(約106億円)を調達。特定のVault(ボールト)に約6,480万ドル(約105億円)を預け入れた後、会計処理を欺いて資産評価を不正に吊り上げた。
攻撃者は、預入額を上回る約7,090万ドル(約115億円)を償還(引き出し)することに成功した。フラッシュローンは同一取引内で返済され、預入との差額にあたる約600万ドル(約9.7億円)が不正な利益として残った。
CertiKは、会計処理の操作が「Silo: Varlamore USDC Growth」というVaultで起きたと指摘する。攻撃者は事前に取得したトークンをVault側に「寄付(donate)」する形で、資産の合計額を管理する仕組みを誤認させたという。
このトークンは4月9日に取得されたもので、悪用の直前に評価額が10倍に高騰していたとされる。CertiKは、こうした価格の変動性が想定外のリスクをもたらしたと分析している。
別のブロックチェーンセキュリティ企業Cyvers(サイバーズ)によると、盗まれた資金はステーブルコイン「DAI」に変換され、攻撃者のウォレットに送金された。取引データ上でも、約601万DAIの送金が確認されている。
フラッシュローンは、無担保で巨額の資金を借り入れられるため、DeFiの複雑なスマートコントラクトの隙を突く攻撃に悪用される例が続いている。今回の手口も、複数のプロトコルを統合し自動化する仕組みの評価計算が突かれた形だ。
関連:暗号資産ハッキング、秘密鍵流出が46%超──コードでなく「鍵」が標的に
関連:ソーチェーン約17億円ハッキングの全容──攻撃者はDiscord参加から2週間で犯行に及ぶ
※価格は執筆時点でのレート換算(1ドル=162円)



