イーサリアムDeFi上でのビットコイン運用にフォーカスしたイールドアグリゲータの「Badger DAO」が、10億円以上のイーサリアム上のビットコインや、DIGG、CVXやCRVがハッキングされて不正に引き出さたことを発表。
<Badgerのハッキングか?
Badger DAOはハッキングと見られる不正な引出しがあっとの報告を受けたことを発表。公式の発表によるとBadgerエンジニアが現在調査をしており、さらなる被害を防止するためにすべてのスマートコントラクトを一時的に停止しているという。
Badger has received reports of unauthorized withdrawals of user funds.
— ₿adgerDAO 🦡 (@BadgerDAO) December 2, 2021
As Badger engineers investigate this, all smart contracts have been paused to prevent further withdrawals.
Our investigation is ongoing and we will release further information as soon as possible.
現時点ではBadger DAOのコントラクト自体にはバグなどの問題はないと見られるが、Badgerユーザーによると不審なApprove(送金の許可)を求められたとしている。これらのことからBadgerの公式やその他アグリゲータなどのフロントエンドがハッキングされ、DNSポイズンなどの偽のサイトに飛ばされた可能性が高い。
この偽のサイトでハッカーのコントラクトに送金の許可署名をしてしまうと、ハッカーは自由に署名した被害ユーザーの保有するトークンを送金できるようになってしまう。
Badgerでの被害総額
ハッカーのアドレスは0x1B1b391D1026A4e3fB7F082ede068B25358a61F2となっており、Badger DAOの被害は主にイーサリアム上で運用されているビットコイン(WBTC)やCRVブーストアグリゲータのConvex Financeが提供するガバナンストークンCVXや、ブーストに使用するためのステーキング時に発行するcvxCRVなども被害となっている。
136119bcvxCRV
100bDIGG
53bibbtc/sbtcCRV-f
64213bveCVX
2WBTC
など10億円以上の被害にあっている。
DeFiの送金許可に注意
今回の被害はBadger DAOのイーサリアム上のコントラクトの被害ではなく、Badger DAOの公式サイトがハッカーによりすり替えられたことが原因であると見られるため、ユーザーは公式サイトにアクセスしたはずがハッカーのサイトに飛ばされていたことになる。
これはURLなどでは気づくことはできないが、イーサリアムを利用している場合は事前に防ぐことができる。署名する先やトランザクションの中身を事前に確認することで、不審な送金許可要求に署名しないことが最大の対策となるのだ。たとえハッカーが公式サイトを改ざんしたり、DNSポイズンなどで偽のフィッシングアドレスに許可をさせようとしても、Badger DAOのコントラクトアドレスは変更できないからだ。
DeFiは20%など比較的安全なプロジェクトでも高いAPY(利回り)を出せる一方、これらの基礎的な部分を気をつけることが最も重要と言えるだろう。
▼墨汁サロンではイーサリアムで安全にDeFiを使用する際の注意点やイーサリアム2.0、ファンダメンタルなどをより深く解説しています。
BTC 
ETH 
XRP 
BCH 
LTC 
XEM 
BNB 
