分散型金融(DeFi)プロジェクトYearn Finance(ヤーン・ファイナンス)が11月30日、リキッドステーキングトークン(LST)を集約した「yETH」製品の攻撃を受け、少なくとも300万ドル(約4.6億円)相当のイーサリアム(ETH)が流出したことが明らかになった。
少なくとも300万ドル相当のイーサリアムが流出、Vaultsには影響なし
ザ・ブロックの報道によると、攻撃者はyETHプールの裏付けとなるスマートコントラクトの脆弱性を突くことで、無限に近い量のyETHを不正にミントすることに成功したという。
ブロックチェーンデータを確認すると、この単一のトランザクション内では不正ミントしたyETHを用い、複数のLSTがユニスワップやカーブなどのプロトコルを通じて交換されたことが示されている。
また、内部トランザクションログには、攻撃者が100 ETHを複数回に分けてミキシングサービスTornado.Cash(トルネードキャッシュ)へ送金したことが記録されており、資金の追跡を困難にする操作が行われたことも明らかになっている。
今回の攻撃は、複数の新設されたスマートコントラクトを介して実行されており、これらのコントラクトの一部は攻撃完了後に即座に自己破壊するよう設定されていた。攻撃者は一連の操作の痕跡を消すことで、自身の追跡をより困難にする状況を作ったとみられる。
ヤーン・ファイナンスは被害を受けた直後に調査を開始したと発表し、同社が提供する資産運用サービス「Yearn Vaults(V2およびV3)」は影響を受けていないと強調した。
今回の攻撃の影響を受け、yETHの価格は即時に崩壊。DEX Screener(デックス・スクリーナー)が提供するyETH/WETHのチャートを確認すると、30日の取引量急増と共に価格はほぼ0ドルに近い水準まで下落している状況だ。なお、執筆時点の流動性は100万ドルを下回っており、資産基盤の危うい状態が続いている。
今回の攻撃は、複雑な仕組みを持つ資産が狙われやすいことを浮き彫りにした。ヤーン・ファイナンスによる調査は継続するとみられるが、今後の対応が市場の信頼回復に向けた鍵となることは確かだろう。
関連:分散型取引所バランサー、大規模ハッキングで約180億円超の資産流出
関連:Monadプロジェクト「aPriori(APR)」エアドロップで不正疑惑──60%超が単一主体に、14,000ウォレットでシビル攻撃か
※価格は執筆時点でのレート換算(1ドル=155.5円)
