Conic Financeハッキング被害|監査対象外の部分で起きていた

目次

「監査済み」の言葉の重みはどこへ

分散型金融(DeFi)プロトコルの「Conic Finance」が、21日から2度にわたりハッキングされ、2つのオムニプールから合計約5億円のユーザー資金が盗まれた。現在、全てのプールへの入金は停止され、出金のみが可能となっており、調査が進められている状況だ。

Conic Financeは、今年3月1日に稼働を開始した比較的新しいプロトコルだ。ユーザーが資金を預けると、Conic Financeが自動的にCurve Finance全体で運用をしてくれ、ユーザーは少ない手間で効率的に運用できる。このプロトコルには稼働直後から6000万ドル(約85億円)以上の資金が預けられ、ハッキング直前には1億ドル(約140億円)を超える資金が預けられていた。

注目したいのは、Conic Financeは、ブロックチェーンセキュリティ企業「PeckShield」による監査を受け、比較的安全とされたいたが、このような事態となってしまった。この事件を受けてPeckshieldは声明を発表した。

悪意のある TX からの最初の分析に基づくと、根本原因は新しい CurveLPOracleV2 コントラクトにあることがわかります。

私たちの監査により、同様の読み取り専用の再入可能の問題が特定されました。ただし、監査範囲の一部ではなかった、新しく導入された CurveLPOracleV2 契約でも同じ問題が発生します。

つまり、監査範囲外で起きたわけだ。

このような事例は、初めてではない。今年4月には、zksync上のDEX「Merlin」が、同じく監査済みであるにもかかわらずハッキングされ、100万ドル(約1.3億円)以上のユーザー資金が盗まれた。

関連:zkSync上のDEX「Merlin」、ハッキング被害|100万ドル以上が流出

ブロックチェーン分析企業Chainalysisによると、昨年は暗号領域において「ハッキング被害額が過去最大の年」となった。そのほとんどは、DeFiを標的にしたものだった。

関連:秘密鍵漏えい・フィッシング攻撃による暗号資産ハッキング多発

参考文献

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

元一般企業会社員。現在はトレーダー兼ライター。
株式やFX、仮想通貨デリバティブ、草コイン、ノード運用と色々やっています。

コメントはこちら(コメントいただいた方の中から毎週3名様に1000円分のUSDTプレゼント)

コメントする

コメントは日本語で入力してください。(スパム対策)

CAPTCHA

目次