ValueDeFiでハッキング！フラッシュローン攻撃でDAI約600万ドル被害

ValueDeFi(バリューデフィ)でハッキングの被害

14日(土曜日)、DeFi(分散型金融)プロトコルValue DeFiのMultiStablesボールトに対するフラッシュローンの脆弱性を悪用されたことが分かりました。


Etherscanデータによると、攻撃者は無担保ローンを利用して、Value DeFiのMultiStablesボールトに資金を預け入れた後、stablecoins dai(DAI、+ 0.07%)とUSDC(USDC、+ 0.02%)の間で資金を裁定しました。
攻撃者はDeFi貸付プラットフォームAaveから80,000のイーサリアム(Ethereum/ETH)を借りた後約600万ドルが悪用されたことが分かりました。

急成長するDeFiへフラッシュローン攻撃が急増

これは、急成長しているDeFiセクターでよく見られるスキーム攻撃の「フラッシュローン攻撃」が原因である可能性が指摘されています。


フラッシュローンでは、貸し手は資金が即座に返済されることを期待しているため、ユーザーは無担保で資金を借りることができます。

1つのトランザクションブロック内で返済される限り、ユーザーは即座に資金を借りることができ、ユーザーは無担保ローンを利用できます。
利用可能なネットワークデータによると、エクスプロイトの一環として、攻撃者はValue DeFiに200万ドルを返し、自分たちのために540万ドルを借用していました。

さらに、攻撃者はValue DeFiチームに

フラッシュローンを本当に知っていますか？

と挑発的なメッセージを送りつけていたことも分かっています。

現在は閲覧できなくなっていますが、海外メディアの報道によると、Value DeFiチームは、後にツイートで「複雑な攻撃に遭遇し、600万ドルの純損失をもたらした」ことを確認しており、


　


私たちは現在、事後分析に取り組んでおり、ユーザーへの影響を軽減する方法を模索しています
とツイートでコメントを発信しています。

攻撃者はフラッシュローンを利用してカーブファイナンスボールト内に保持されているトークンの価格に影響を与え、次にそれらを低価格で購入してローンを返済し、利益を上げました。
MultiStables Vaultには、

1)　フラッシュローン攻撃の防止
2)　偽トークン攻撃の防止
3)　再入可能攻撃の防止

というこれらのメリットがあるはずでしたが、今回のハッキングによって、これらのどれも持ち合わせていないことが判明しました。

混乱中のValueDeFiコミュニティで、チャットのメンバーであるジャスティン・ベビス(Justin Bebis)氏は

コミュニティのアートワークを宣伝し、毎週素晴らしい進歩を遂げました。この後、彼らが諦めるとは思えませんが、コミュニティが崩壊するのを見るのは悲しいことです。

と語っているほか、同じくValue DeFiのコミュニティマネージャーであるProd氏は

私たちはあきらめず、計画を立てて前進し続ける

とメディアに語りました。



※画像引用元：CoinMarketCap　


CoinMarketCapのデータによると、15日18時の時点で、1VALUR=211.32円(前日同時刻比-25.53%)と大幅な下落を見せています。

ValueDeFiの損失は、別のDeFiプラットフォームアクロポリス(Akropolis/AKRO)が同様のハッキング被害に見舞われており、被害額は約200万ドル(約1億円)を失ったわずか2日後に発生しています。