2400万ドルが流出、DeFiの弱点を突いた手口とは？──攻撃者は一部を返却

DeFi（分散型金融）プロジェクトのハーベスト・ファイナンス（Harvest Finance）の弱点を突いた裁定取引が発端となり、約2400万ドル（約25億円）相当のステーブルコインが10月26日、同プロジェクトのプールから流出した。コインゲッコー（CoinGecko）の調査でわかった。

アタッカー（攻撃者）は、フラッシュローン（利用者がデメリットなく大きなレバレッジを活用できる無担保ローンの一種）を利用して価格を操作し、利益を上げたと伝えられている。

攻撃によってハーベスト・ファイナンスの預かり資産（TVL）は攻撃前の10億ドル（約1050億円）超えから、当記事執筆時点では4億3000万ドル（約450億円）に減少し、同プロジェクトのネイティブトークン「FARM」の価格は1時間たらずで65%下落した。

関連記事：1週間に2度の攻撃で1億円超──DeFiレンディングを悪用、その手口とは？

攻撃から12時間で大幅に減少したハーベスト・ファイナンスの預かり資産推移
出典：DeFi Pulse

攻撃は暗号資産コミュニティでよく知られた人物

流出した資産は最終的にビットコイン（BTC）に交換されたが、それはイーサリアムミキシングサービス（監視や追跡の可能性からプライバシーを守るサービス）の「Tornado Cash」を通したあとだった。

暗号資産がミキシングされたことで、ハーベスト・ファイナンスのチームは情報を掴むことができた。

ハーベストによると、攻撃を行った人物は「暗号資産（仮想通貨）コミュニティではよく知られた」人物で、「個人を特定できる情報をかなり大量に」残した。この人物の資産が保有されている7つのビットコイン・ウォレットもすべて特定されている。

ハーベストを支える匿名の開発者たちは、この人物の個人情報をインターネット上に晒すことは望んではいないが、資産を送り返すよう説得するために、10万ドル（約1050万円）を提示している。

「アタッカーへ：あなたの実力は証明されている。資産をユーザーに返してもらえれば、多くの第三者を含めてコミュニティは大いに感謝するだろう」とチームはメッセージを送った。

DeFiへのフラッシュローン攻撃

データサイトのイーサスキャン（Etherscan）によると、攻撃そのものは、DeFiプロトコルのユニスワップ（Uniswap）、カーブ・ファイナンス（Curve Finance）、ハーベスト・ファイナンスの間での一連の裁定取引だ。

攻撃者はまず、ユニスワップから5000万ドル（約52億円）をUSDコイン（USDC）のフラッシュローンで引き出した。その後、USDコインとテザー（USDT）の間でスワップ取引を行い、2つのトークン価格を大きく変動させた。

No hacker.Just a simple* $24M (0x53f) juicy arb on @harvest_finance

$50M USDC flash loan @UniswapProtocol
Swap $11M (USDC/USDT) @CurveFinance
~61M on fUSDT Vault
Swap $11M USDT/USDC yUSDT
Withdraw $61M with $0.5M profit
Repeat & clean into @TornadoCash https://t.co/nFTuyU3s6w pic.twitter.com/2oXQ2PsY32
— Julien Bouteloup (@bneiluj) October 26, 2020