要点
・アクロポリスのハッキング被害額は約200万ドルだった事もあわせて公表されています。
DeFiアクロポリス(Akropolis)がハッキング被害を認める
DeFi(分散型仮想通貨取引所)のアクロポリス(Akropolis)が200万ドル、日本円で約20億1,000万円相当のDAIハッキング被害に遭っていたことを発表しました。
分散型仮想通貨取引所のアクロポリスが13日午前(3:57分発信)、取引所がハッキング被害に遭ったことをツイッターで明かしました。
2回監査された「貯蓄プール」のスマートコントラクト全体で実行されたハッキングを特定しました。私たちはセキュリティスペシャリストやオンチェーン分析プロバイダーと協力しており、まもなく、より詳細な声明を発表することを目指しています。
これは、イーサリアムベースの収量農業用(※1)DeFiプロトコルに対する最新のフラッシュローン攻撃です。
(※1)収量農業用とは、仮想通貨を保有することに対して報酬を生成する方法で、ステーキンによってトークンをロックし、報酬を受け取る仕組みを指します。
プールされたイーサリアムベースの資産に関心を持たせるためのプロトコルを実行するアクロポリスは、フラッシュローンを介してハッキングされた最新DeFiプロジェクトです。
同プロジェクトのDelphiSavingsプール内の収穫量農業用のプールのいくつかは、約200万ドル相当の200万以上のステーブルコインのダイ(DAI)が流出したと公表しています。
「グリニッジ標準時14時36分頃、stablecoinプールのAPYに不一致があり、yCurveプールとsUSDプールから約200万DAIが排出されていることがわかりました」とプロジェクトは11月12日の夜、公式サイト内ニュースレターにて報告しました。
Curveは、ステーブルコインを取引し、利息を稼ぐためのプロトコルで、アクロポリスによると、他のCurveプール(bUSDとsBTC)、およびそのAaveプールとCompoundプールは影響を受けていないと述べています。
今回の攻撃は、プールが2つの独立した監査を受けていたものの、エクスプロイトで使用された攻撃ベクトルはどちらの監査でも特定されさなかったと述べ、アクロポリスにとっては驚きだったのようです。
問題のエクスプロイトの本質は、リエントラント攻撃とdYdXフラッシュローンの組成の組み合わせであり、盗まれた資金は現在ウォレット
【 https://etherscan.io/address/0x9f26ae5cd245bfeeb5926d61497550f79d9c6c1c 】
に保管されているとのこと。
また、ハッカーは盗んだ資金を長期間保管せず、盗まれたDAIをすぐに別のウォレットに移していることもあわせて公表しています。
アクロポリスは、コードを確認し、「プロジェクトにとって持続可能な方法で、損失をユーザーに払い戻す方法を模索する」ことを約束しています。
ただし、その間、すべてのステーブルコインプールを一時停止し、ハッキングについて取引所に通知したと述べています。
先月末、ハーベスト・ファイナンス(Harvest Finance)はフラッシュローン攻撃を受けたことで、米ドルステーブルコインのUSDCとテザー(Tether /USDT)のステーブルコイン準備金で約3,400万ドル、日本円で約36億円相当を失っています。
アクロポリスのこれまでの対応と今後について
これまでにアクロポリスが行った活動には
・すべてのステーブルコインプールの一時停止措置
・情報交換の場に、セキュリティスペシャリストを従事させて対応。
・開発プロセスとセキュリティプロセスの見直しおよびその対応
今後の対応として予定されているのは、現在、コードとセキュリティ手順を確認しており、分析を含む事後分析をできるだけ早く公開していく予定とのことです。
現在、アクロポリスプロジェクトでは、持続可能な方法で損失をユーザーに払い戻す方法を模索している最中であると発表しており、最終決定が下される前にコミュニティに提案がおこなわれる予定とのことです。