分散型取引所カーブ(Curve)がハッキング被害、60億円が流出か──ホワイトハッカーが一部取り戻す

イーサリアムブロックチェーンのDeFi(分散型金融)の要であるDEX(分散型取引所)のカーブ(Curve)が同社のツイートによると、ハッキング被害にあっているという。

カーブは、スマートコントラクトを使って、ステーブルコインの借り入れ・取引・貸し出しサービスをユーザーに提供している。カーブに資金を預け入れると、年換算で最大4%の利回りを手にすることができる。

Vyper 0.2.15を使用する多くのステーブルコイン・プール (alETH/ms ETH/pETH) は、リエントランシー・ロックの誤動作の結果、悪用されています。私たちは状況を調査しており、事態の進展に応じてコミュニティを更新します。

他のプールは安全です。

カーブの主要システムに使用されているプログラミング言語Vyperにバグがあり、最大1億ドル(約140億円、1ドル140円換算)相当の暗号資産が危険にさらされている。カーブには複数のステーブルコイン・プールがあり、さまざまなDeFiサービスでの価格設定と流動性のために使われているが、現在までにその一部がハッカーによって流出させられている。

「Vyperコンパイラーのバージョン0.2.15〜0.3.0の問題のため、以下のプールがハッキングされた:crv/eth, aleth/eth, mseth/eth, peth/eth」とカーブは31日にツイートした。

Vyperを使用する他のプロジェクトも、同じ脆弱性を持っている可能性がある。

当記事執筆時点、この攻撃による被害額は明らかになっていない。ブロックチェーン監査会社BlockSecは、ツイッターに投稿した速報的な分析で総損失額を4200万ドル(約59億円)以上と見積もった。

暗号資産リクス・モデリング会社Gauntletの創業者兼CEO、タルン・チトラ(Tarun Chitra)氏は、ハッカーは約2000万ドル(約28億円)相当のカーブ・ダオ・トークン(CRV)などを引き出したと推定している。

ウェブサイトによると、カーブは232個のプールを運営している。チームメンバーのミマクラス(Mimaklas)氏は「Vyperのバージョン0.2.15、0.2.16、0.3.0を使用しているプールだけが危険にさらされている」とDiscordで述べた。

またミマクラス氏は「影響を受けたチームとともに状況を調査しているところ」と付け加えた。

カーブ以外では、DeFiプロジェクトのアーベ(Aave)がパニックの中、CRVの借り入れ機能を無効にした。

ホワイトハッカー、資金の一部を取り戻す

カーブは、ボットオペレーターの「c0ffeebabe.eth」が2879ETH(約550万ドル、約7億7000万円)を取り返したことで、流出した暗号資産の一部をなんとか回復させた。

ハッキングによってCRVは17%下落、当記事執筆時点で0.61ドル付近となっている。下落により、カーブの創業者がアーベで設定している7000万ドル(約98億円)の借り入れポジションが清算される可能性があり、事態がさらに悪化する恐れがある。

一方、DeFiLlamaによると、カーブの預け入れ資産(TVL)は、30日の30億ドル以上から31日に17億ドルに減少した。

|翻訳:吉見朋子
|編集:増田隆幸
|画像:Shutterstock
|原文:Curve Finance Drained of $50M While CRV Token Sinks 12% in Latest DeFi Exploit