イーサリアムプロジェクトWLEOで42,000ドル相当のハッキング発覚

WLEO、42,000ドル相当のハッキング被害

現在、WLEOの価格が99%も急落し、トークンは実質的な価値がないも同然の状況にまで追い込まれています。

10月11日にWLEO契約がハッキングされ、42,000ドル(約440万円)相当の資金が盗まれました。
ハッカーは、WLEOを自分自身にミント(※1)し、それをイーサリアムと交換することによって、分散型交換ユニスワップのプールからイーサリアム(Ehereum/ETH)を盗んだことが分かっています。
(※1)ミントとは、イーサリアムプログラム実行環境EVM(Ethereum Virtual Machine)のメリットを悪用し、イーサリアムで開発したコードをそのままコピペするだけで動かすことをミントすると言います。

LEOFinanceコミュニティ創設者のカリル・カジ(Khaleel Kazi)氏は

私が聞いている通りであるならば、これはUniswapの他の多くのプールで起こっています。トークン発行契約アドレスが公開され、誰かがそれを利用して無限のトークンを作成し、Uniswapプールを引っ張ってイーサリアムを盗みます

とハッキングに関するレポートの中で述べています。

WLEOは、Hiveブロックチェーンで実行されるLEOトークンのラップバージョンです。
LEOトークンに固定されていますが、イーサリアムブロックチェーン上で実行されるため、スマートコントラクトで使用でき、より広いイーサリアムエコシステムへとアクセスができます。
今回のハッキングでWLEOの価格が99%急落したことを受け、LEOの価格もつられ、現段階では約60%の大幅下落を見せています。

※画像引用先：HOVE ENGINEより

しかし、LEOについては、徐々に回復を見せています。

ハッキング発覚後について

ハッキングが実行されている間、WLEOユーザーは異常な取引が行われていることにすぐに気づいたようで、実行開始からわずか1時間以内にプールから流動性の50%を迅速に取り除いて対応しています。
数時間後、75%以上の流動性がプールから削除され、ハッカーが享受できるリターンが制限されました。

それ以来、アドレスがわかっているハッカーは、匿名のアカウントを使用してイーサリアムをバイナンス(Binance)へ転送させており、盗まれた資金を追跡することはほとんど不可能であると海外メディアは報じています。
(※ハッカーのETHアドレス：https：//etherscan.io/address/0x8c9a02c89c96940e377052a9be0c7326f89a2495)

Binanceに連絡がありましたが、ハッカーがETHを受け取るためにKYC以外のアカウントを使用したようであるため、彼らにできることは何もないかもしれません

とカジ氏はコメントしています。

ハッカーがどのようにして盗難を阻止したのかは不明で、カジ氏によると、悪用された欠陥はWLEOオラクルに起因するものではないとのこと。
これにより、ブロックチェーンが実世界またはオフチェーンデータと相互作用できるようになります。

これによってwLEO契約をどのように公開したかについてのいくつかの可能性に絞り込まれ、調査が続けられます。調査において、さらに絞り込んでいくうちに、詳細を公開する予定です

とカジ氏は述べています。

あるユーザーは、以前LEOで家賃を払うことを提案していましたが、現在の価格ではそそのような提案も夢となりそうです。

なおLEO FINANCE側はブログ上でハッキングの被害を公表しており、ハッキングの前に残高のスナップショットを作成し、流動性を引き出したのは誰か、ハッキングの時点でまだプールに残っていたのは誰かを把握するのに少し時間がかかるものの、継続的に取り組んで、このETHをLPに戻すとコメントしています。

今回のハッキングはイーサリアムのWLEOにのみ影響すること、LEO / LeoFinanceのHive操作の欠陥は公開されていないことなどから、WBTCがハッキングされた場合と同様の状況で、ハッカーはWLEOの価格と供給に影響を与えたものの、ハッカーが作成したWLEOをLEOにアンラップできないため、LEO自体に触れることはできないと断言しています。