Beanstalk DeFi で Flash Loans 攻撃が発生:$182M が失われ相場が暴落

Beanstalk DeFi platform loses $182 million in flash-load attack

2022/04/18 BleepingComputer — 日曜日に、分散型クレジット・ベースの金融 システム Beanstalk は、$182 million 相当の金融損失をもたらすセキュリティ侵害に遭い、$80 million の暗号資産を攻撃者に盗まれたことを明らかにした。この攻撃の結果、Beanstalk 市場の信頼は損なわれ、その分散型クレジットベースの BEAN stablecoin 価値は、日曜日の $1 強から $0.11 まで暴落している。

The drop in BEAN's value within a day
The drop in BEAN’s value within a day (CoinGecko)

分散型金融 (DeFi:Decentralized Finance) プラットフォームの問題は、攻撃者が流動性プロトコルである Aeve で Flash Loans を行い、Stalk ネイティブ・ガバナンス・トークンを大量に保有して得た投票力を用いて悪意の提案を通したことだ、と Discord チャンネルで詳述されている。

Omniscia スマート・コントラクトの監査人と開発者は、このハッカーは悪意の提案を介して資産を盗むことに成功したと、攻撃を事後分析している。

[中略] Beanstalk Protocol は、新しく導入された Curve LP Silos の欠陥による Flash Loans 攻撃を受け、プロトコルのガバナンス機構が損なわれ、プロジェクトの資金を吸い上げるという悪質な提案を、攻撃者に緊急実行させることを許してしまった。

この攻撃者は、あるインスタンスにおいて、すべてのプロトコルの資金を Ethereum のプライベート・ウォレットに流出させたが、その行為に賛成票を投じる権能を持っていたのだ。

Flash Loans とは、担保を提供せずに他のトレーダーから、ユーザーが大量の stablecoin を借りることができるものだが、融資の承認と返却のプロセスは、ブロックチェーン上の単一のトランザクションにより数秒で完了する。

一部のハッカーは、様々な DeFi プラットフォームにおいて、この短時間で悪用可能な脆弱性を特定し、Flash Loans の承認直後に悪意のアクションを実行している。DeFi プラットフォームは、分散型 price oracles などの保護システムを使って、この脅威を防御しているが、すべてのプラットフォームが確立しているわけではない。

Beanstalk への攻撃は、Stalk Flash Loans によるガバナンス操作を、阻止するだけの耐性がないことを利用したものであり、これが攻撃の成功を許してしまったポイントである。

この悪用を顕在化させた欠陥のコアは、プロジェクトの Silo システムのために導入された2つの新しい LP 資産である BEAN3CRV-f と BEANLUSD-f が、Flash Loans を介して作成できることにある (LP 単位を表すため)。そして、Uniswap LP BDV 計算機と対照的に、対象となる Bean-Denominated-Value (BDV) 計算が、Flash Loans の影響を受けない状態にあることだ。

現在どうなっているのか

Beanstalk は、今後の計画を共有していないため、投資家への払い戻しは不透明な状況にある。同社は、「技術的な監査の状況/範囲/限界について、非技術的な市場参加者に対して情報を提供し、理解してもらう必要があると信じている。現在、私たちのチームは、監査の解明を目的とした複数の取り組みを行っている。また、このインシデントは調査を継続中であり、DeFi コミュニティとブロックチェーンの専門家に対して、可能な限りの救済をオープンに呼びかけている。それと同時に、悪用した側にも交渉を呼びかけている」と述べている。

興味深いことに、ブロックチェーン分析企業である PeckShield によると、ハッカーは盗み出した金額のうち $250,000 をウクライナに寄付したとのことだ。

The trace of the stolen crypto assets
The trace of the stolen crypto assets (PeckShield)


このハッカーは、自身の痕跡を消すために、Tornado Cash のコインミキシング・サービスを使用していると、アナリストたちは指摘している。

炎上する DeFi プラットフォーム

先週の Chainalysis レポートによると、2022年に暗号破りの主戦場になるのは DeFi プラットフォームだとされており、Beanstalk のインシデントにより、この傾向の裏付けが進んだとも言える。通常、このようなハッキングは、セキュリティ侵害やコード内のエクスプロイトによって発生するため、Flash Loans による攻撃の比率は低くなると思われる。

このインシデントは Gigazine でも取り上げられていて、「攻撃者が利用したのは DeFi の特徴的な仕組みの1つである、1つのトランザクション内でローンを借り入れて返済するのであれば無担保・無利子で借り入れができるというのがフラッシュローンだ」と解説しています。つまり、この一瞬のスキを突く攻撃への耐性が不足していたわけですが、問題の収束には時間がかかるでしょうし、暗号資産のせかいにとって大きな痛手になるでしょうね。

%d bloggers like this: