DeFi(分散型金融)プラットフォームで多発するフラッシュローン攻撃によりBeanstalkが230億円相当を失う
仮想通貨取引所のような中心となる存在がないことから「分散型」と表現される分散型金融(Decentralized Finance:DeFi)プラットフォームの1つ、Beanstalkが攻撃者に狙われ、1億8200万ドル相当、日本円にして約230億円の損失を出したことが報じられています。
Beanstalk Governance Exploit | Beanstalk
https://bean.money/blog/beanstalk-governance-exploit
DeFi Project Beanstalk Loses $182 Million in Flash Loan Attack - Bloomberg
https://www.bloomberg.com/news/articles/2022-04-18/defi-project-beanstalk-loses-182-million-in-flash-loan-attack
Beanstalk cryptocurrency loses $182m of reserves in flash ‘attack’ | Cryptocurrencies | The Guardian
https://www.theguardian.com/technology/2022/apr/18/beanstalk-cryptocurrency-loses-182m-of-reserves-in-flash-attack
Beanstalk cryptocurrency project robbed after hacker votes to send themself $182 million - The Verge
https://www.theverge.com/2022/4/18/23030754/beanstalk-cryptocurrency-hack-182-million-dao-voting
攻撃者が利用したのはDeFiの特徴的な仕組みの1つである、1つのトランザクション内でローンを借り入れて返済するのであれば無担保・無利子で借り入れができるという「フラッシュローン」です。
Beanstalkの発表によると、攻撃者は協定世界時4月17日12時24分ごろ、フラッシュローンを悪用して、ユーザー資産約7600万ドル(約97億円)を攻撃者の管理するウォレットへ送金したとのこと。
ブロックチェーンに関するセキュリティとデータ分析を扱うPeckShieldは、攻撃者が手に入れた金額が8000万ドル超(約103億円)で、被害総額はさらに多くなると推計。ニュースサイトのBloombergやThe Guardian、The Vergeなどは総額を1億8200万ドル相当(約233億円)と報じています。
Hi, @BeanstalkFarms, you may want to take a look: https://t.co/wyHe3ARZgU
— PeckShield Inc. (@peckshield) April 17, 2022
1/ The @BeanstalkFarms was exploited in a flurry of txs (https://t.co/PMsdP5dnJG and https://t.co/wyHe3ARZgU),
— PeckShield Inc. (@peckshield) April 17, 2022
leading to the gain of $80+M for the hacker (The protocol loss may be larger), including 24,830 ETH and 36M BEAN.
2/ The hack is made possible due to the flashloan-assisted (immediate) pass of BIP18, which was submitted one day ago (https://t.co/4TocPkMna0). The BIP18 leads to the crafted code execution with the governance privilege to drain the pool fund. pic.twitter.com/qLYk7jhTCG
— PeckShield Inc. (@peckshield) April 17, 2022
3/ To illustrate, we use the hack tx and show the key steps below pic.twitter.com/9N71BvQfGb
— PeckShield Inc. (@peckshield) April 17, 2022
「フラッシュローン」を悪用した攻撃はすでに複数件の報告があるもので、2021年8月にDeFiプラットフォーム・Cream Financeが30億円相当の損失を出しており、2021年上半期だけでも総額520億円相当の被害が出ています。
30億円相当の仮想通貨をハッカーがDeFiプラットフォームから盗み出す、同様事例の被害額は520億円超に - GIGAZINE
今回の攻撃者が過去のいずれかの攻撃に関与しているかどうかは明らかではありません。なお、攻撃者は5万ドル相当(約3200万円)の仮想通貨をウクライナに寄付していることが確認されています。
4/ The initial funds to launch the hack are withdrawn from @SynapseProtocol and most of the result gains are deposited to @TornadoCash. Currently 15,154 ETH still stays in the hacker’s account. Note the hacker donates 250k USDC to Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj
— PeckShield Inc. (@peckshield) April 17, 2022
・関連記事
既存の金融システムを塗り替える仮想通貨の「分散型金融(DeFi)」のメリットとデメリットとは? - GIGAZINE
「仮想通貨の多くが犯罪組織に使われている」とアメリカ財務長官候補が発言、しかし「事実は異なる」という指摘も - GIGAZINE
サイバー犯罪者は2020年だけで少なくとも367億円の仮想通貨を稼いだとの報告 - GIGAZINE
・関連コンテンツ