イーサリアムのL2でありzkEVMとしても知られるスクロール(Scroll)は現在開催しているエアドロップのポイントキャンペーン対象の一つ、Rho Marketのハッキングに伴いファイナライズを一時停止したことを発表。スクロール運営によるとハッキングはチェーンの脆弱性ではなく、Rho Marketの脆弱性によるものであるという。
関連記事:【墨汁速報】イーサリアムL2上の分散仮想通貨取引所ハッキングによりネットワーク停止で物議
スクロールのレンディングでハッキング
イーサリアムのL2でzkEVMとしても知られ、リネア(Linea)やジーケーシンク(zkSync)に次ぐ利用者を抱えるスクロール(Scroll)は、現在公式に開催しているエアドロップポイントキャンペーンとなるスクロールセッションワン(Session One)のレンディング利用対象の「Rho Markets」がハッキングされたことを受け、ファイナライズを一時停止したことを発表した。
Rho MarketsはETHやUSDCやUSDTなどのステーブルコインを貸付することができ、そのかわりに借り入れたユーザーから金利を受け取ることができるいわゆるレンディングプロトコルだ。スクロールセッションは将来的なエアドロップとなるいわゆる「ポイントプログラム」であり、レンディング最大手のアーベ(Aave)とRho Marketsを利用することでポイントを得ることができた。
状況から推測するにハッカーはUSDCとUSDTを全額Rho Marketsからドレインしており、おそらくオラクル攻撃かバグにおける無限担保借り入れがハッキングの理由であると見られる。被害総額は約12億円となっており、ハッカーは既に盗んだステーブルコインをETHに売却してロンダリング済みだ。
ハッキング速報:イーサリアムzkEVMのScrollがエアドロキャンペーンとなる「Marks」のレンディングRhoMarketがハッキングされUSDCとUSDTが全てドレインされたことを受け、チェーンのファイナライズを一時的に停止していたことを発表。脆弱性はコントラクト起因でLineaと同じ賛否両論に
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) July 19, 2024
#イーサリアム pic.twitter.com/y4yDmsDX9L
リネアに続いてスクロールでもエアドロップキャンペーン狙いか
このようなエアドロップを直接行うのではなく、ポイントキャンペーンを行って他の強豪仮想通貨プロジェクトからユーザーを奪い合ういわゆるバンパイア攻撃はエアドロップにおいて一般的となっている。
一方で同じくイーサリアムL2のzkEVMであるリネア(Linea)も同様のポイントキャンペーンであるリネア・ボイジャー・サージ(Linea Voyager Surge)でユーザーを集めている中、対象の分散取引所のヴェロコア(Velocore)がハッキングされて一時的に停止するという対応に物議をかもしたのは先月のことだった。
ハッカーはエアドロップ狙いのユーザーが集まるところを狙い、意図的に攻撃したと見られる。エアドロップは100万円から多ければジーケーシンクのように1000万円にも到達するためリターンが高い一方、注意深く対策しておかなければそれ以上の損失となることも多々あるということだ。
追記:ハッカーは意図的ではないと釈明
Rho Marketsのハッカーはオンチェーンメッセージにて今回のは攻撃ではなく、Rho Marketsチーム側がレンディングの担保を計算する際に使用するプライスオラクルの設定をミスしたことが原因であると指摘。このミスに対してハッカーのMEVボットが自動で反応してしまい、資金をドレインしてしまったと表明している。
そのため意図的な攻撃ではなく、ドレインされた資金はユーザーに100%帰属するため全額返金することを表明するも、その前に今後同じようなミスが起きないための対策を発表してほしいと述べている。筆者がハッカーのアカウントを分析したところ他のチェーンでの運用などもされており、アカウント自体の利用も200日前から行われているためこれまでのハッカーの利用しているアカウントと大きく異なることからこのメッセージは本当である可能性が高いと考えられるだろう。
ハッキング速報:ScrollのRho Marketsハッカーがオンチェーンメッセージで
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) July 19, 2024
「MEV BotがRHO側オラクルの設定ミスに気づきドレインしてしまった。全額返却する意思がありハッキングではない。返金前に対策を発表してくれ」
と伝える 🤔#イーサリアム #仮想通貨 #暗号資産 #エアドロップ #エアドロ https://t.co/5A94tyaJoU pic.twitter.com/PnL2OfPk5e
▼仮想通貨(暗号資産)のエアドロップ対策、仕組みや技術、規制の市場影響を勉強するなら「墨汁うまいと学ぶ仮想通貨の世界」!他では見ることができないより詳しい内容を投資家向けにわかりやすく解説