Curve Financeハッキング被害｜約57億円が盗難

一旦避難を！

31日、大手分散型金融（DeFi）「Curve Finance」上の複数のプールがハッキングされ、ブロックチェーンセキュリティ企業「Blocksec」によると、総額約4100万ドル（約57億円）相当の資産が盗まれた。

関連：仮想通貨CRV(Curve Finance)とは？特徴と将来性、購入できる取引所を徹底解説

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) July 30, 2023

ブロックチェーンセキュリティ企業「Beosin」によると、被害を受けたのは、alETH/msETH/pETHプールで、原因は、Curveシステムの一部に使用されているプログラミング言語Vyperのリエントランシーバグであった。

リエトランシーバグとは、コントラクトの外部呼出しが中断され、完了する前に呼び戻された場合に発生する価格計算エラーを悪用した脆弱性だ。イーサリアムの実行の仕組みに起因していて特異性が高く、悪名高い脆弱性として知られている。

Vyper社は、バージョン0.2.15、0.2.16、0.3.0にリエントランシー・ロックの不具合による脆弱性があることを認めており、現在調査中である。

PSA: Vyper versions 0.2.15, 0.2.16 and 0.3.0 are vulnerable to malfunctioning reentrancy locks. The investigation is ongoing but any project relying on these versions should immediately reach out to us.

— Vyper (@vyperlang) July 30, 2023

このハッキングで、CRVトークンは、一時約17％下落した。

Curve Financeは、効率的なステーブルコイン取引に最適化された分散型取引所（DEX）で、自動化マーケットメーカー(AMM)を使用して流動性を管理している。2020年1月にローンチされたCurveは、今や分散型金融（DeFi）現象の代名詞となっており、2020年後半に大きな成長を遂げた。

大丈夫かブロックチェーン業界

ここ数週間ハッキングが相次いでいる。EraLendは約4.7億円、Conic Financeは約5億円、いずれも安くない金額だ。

今回の事件の驚くべき点は、利用されていたVyperのバージョンがかなり古いものである点だ。ver.0.3.0は2021-10-4リリース、ver.0.2.16は2021-08-27、ver.0.2.15は2021-07-23と、2年も前のものだ。いくらオープンソースだからといって、基盤である言語のバージョン管理を怠るのはあまりのお粗末だ。

関連：Conic Financeハッキング被害｜監査対象外の部分で起きていた

関連：zkSync Era上のDeFi「EraLend」、約4.7億円のハッキング被害

参考文献

• Blocksec
• Beosin