分散型取引所のKiloEx、オラクル操作攻撃で700万ドルを失う
- 分散型取引所KiloExは、価格オラクルシステムの脆弱性を突いた巧妙な攻撃により、700万ドルの損失を被った。
- 攻撃者はトルネード・キャッシュを使用してウォレットに資金を送金し、ベース、BNBチェーン、タイコを含む複数のブロックチェーンネットワーク上の資産価格を操作した。
- KiloExは業務を停止し、パートナー企業と協力して盗まれた資金の追跡と攻撃者のウォレットのブラックリスト化を進めている。
永久先物取引のための分散型暗号資産(仮想通貨)取引所(DEX)であるKiloExは、4月15日の早い時間に高度な攻撃を受け、ユーザーは約700万ドル(約10億1500万円、1ドル=145円換算)の損失を被った。
この攻撃は複数のブロックチェーンネットワークにわたって展開され、ブロックチェーン分析会社Cyversによると、プラットフォームの価格オラクルシステムの脆弱性が原因であるようだ。
攻撃者は、トランザクションの追跡を隠蔽するツールであるトルネードキャッシュ(Tornado Cash)で資金を調達したウォレットを使用し、ベース(Base)、BNBチェーン(BNB Chain)、タイコ(Taiko)の各ネットワークで一連の取引を実行し、プラットフォームの価格オラクルシステムの欠陥を利用した。これにより、攻撃者は資産価格を操作することが可能となった。
—
7M HACK ALERT
An address funded via @TornadoCash has executed a series of exploitative transactions on the $BNB, $Base, and $Taiko chains — accumulating approximately $7M in… pic.twitter.com/od4UTsSrXs
KiloExはその後、この侵害を確認し、プラットフォームの運用を停止し、現在、パートナー企業と協力して盗まれた資金の追跡と攻撃者のウォレットのブラックリスト化に取り組んでいる。
オラクルは、ブロックチェーンベースのツールであり、あらゆる種類の外部データをブロックチェーンに中継する。スマートコントラクトは、そのデータを使用して金融アプリケーションの意思決定を行う。つまり、オラクルはイーサリアム(ETH)の価格が2000ドルなのか、3000ドルなのかをプラットフォームに伝え、取引が公正な市場価格で行われることを保証する。
しかし、オラクルは弱点にもなり得る。KiloExの場合、攻撃者は価格オラクルのアクセス制御の脆弱性を悪用した。つまり、フラッシュローン(一時的な流動性)を利用してデータを改ざんし、システムに偽の価格を信じ込ませることができるという欠陥だ。
攻撃者は、レバレッジ取引ポジションを開く際に、オラクルを操作してETHの途方もなく低い価格(例えば100ドル)を報告させた。レバレッジを利用すると、トレーダーは資金を借りて賭け金を増やすことができるため、偽の価格によって大幅な歪みが生じる可能性がある。
これにより、巨額の利益を上げたように見せかけ、その利益をKiloExの保管庫から引き出すことができた。攻撃者はこれをベイス、BNBチェーン、タイコで繰り返し、KiloExのクロスチェーン設定を悪用して、プラットフォームが対応する前に利益を最大化した。
報告された取引の1つでは、攻撃者は1回の操作で312万ドル(約4億5240万ドル)を手に入れた。
DeFiプラットフォームがオラクル操作の被害に遭うのはこれが初めてではない。同様の攻撃には2022年の分散型暗号資産取引所(DEX)のマンゴー・マーケッツ(Mango Markets)から1億ドル(約145億円)が盗まれた件や2021年のDeFi(分散型金融)レンディングのCream Financeが1億3000万ドル(約188億5000万円)を失なった件などがある。
|翻訳:CoinDesk JAPAN
|編集:井上俊彦
|画像:Shutterstock
|原文:DEX KiloEx Loses $7M in Apparent Oracle Manipulation Attack
