【墨汁速報】DeFiアグリゲーターBadger DAOでハッキングか 10億円以上の被害

イーサリアムDeFi上でのビットコイン運用にフォーカスしたイールドアグリゲータの「Badger DAO」が、10億円以上のイーサリアム上のビットコインや、DIGG、CVXやCRVがハッキングされて不正に引き出さたことを発表。

<Badgerのハッキングか?

Badger DAOはハッキングと見られる不正な引出しがあっとの報告を受けたことを発表。公式の発表によるとBadgerエンジニアが現在調査をしており、さらなる被害を防止するためにすべてのスマートコントラクトを一時的に停止しているという。

現時点ではBadger DAOのコントラクト自体にはバグなどの問題はないと見られるが、Badgerユーザーによると不審なApprove(送金の許可)を求められたとしている。これらのことからBadgerの公式やその他アグリゲータなどのフロントエンドがハッキングされ、DNSポイズンなどの偽のサイトに飛ばされた可能性が高い。

この偽のサイトでハッカーのコントラクトに送金の許可署名をしてしまうと、ハッカーは自由に署名した被害ユーザーの保有するトークンを送金できるようになってしまう。

Badgerでの被害総額

ハッカーのアドレスは0x1B1b391D1026A4e3fB7F082ede068B25358a61F2となっており、Badger DAOの被害は主にイーサリアム上で運用されているビットコイン(WBTC)やCRVブーストアグリゲータのConvex Financeが提供するガバナンストークンCVXや、ブーストに使用するためのステーキング時に発行するcvxCRVなども被害となっている。

136119bcvxCRV
100bDIGG
53bibbtc/sbtcCRV-f
64213bveCVX
2WBTC

など10億円以上の被害にあっている。

DeFiの送金許可に注意

今回の被害はBadger DAOのイーサリアム上のコントラクトの被害ではなく、Badger DAOの公式サイトがハッカーによりすり替えられたことが原因であると見られるため、ユーザーは公式サイトにアクセスしたはずがハッカーのサイトに飛ばされていたことになる。

これはURLなどでは気づくことはできないが、イーサリアムを利用している場合は事前に防ぐことができる。署名する先やトランザクションの中身を事前に確認することで、不審な送金許可要求に署名しないことが最大の対策となるのだ。たとえハッカーが公式サイトを改ざんしたり、DNSポイズンなどで偽のフィッシングアドレスに許可をさせようとしても、Badger DAOのコントラクトアドレスは変更できないからだ。

DeFiは20%など比較的安全なプロジェクトでも高いAPY(利回り)を出せる一方、これらの基礎的な部分を気をつけることが最も重要と言えるだろう。

 

▼墨汁サロンではイーサリアムで安全にDeFiを使用する際の注意点やイーサリアム2.0、ファンダメンタルなどをより深く解説しています。

墨汁バナー

墨汁うまいと学ぶ仮想通貨の世界

おすすめの記事
【墨汁速報】破産危機のジェネシス 仮想通貨取引所の顧客資産1206億円を凍結か
仮想通貨ニュース
【墨汁速報】破産危機のジェネシス 仮想通貨取引所の顧客資産1206億円を凍結か
仮想通貨取引所ジェミニが提供するレンディングプロダクトの「ジェミニ・アーン」は、提携先のジェネシストレーディングがFTX破産の影響で出金を停止したことで顧客資産が凍結された状態となっている。 ジェネシストレーディングはジェミニの顧客資産となる約9億ドル相当の仮想通貨の引出しができない状況だという。
【墨汁速報】 VISA イーサリアム上のドル“USDC”を利用した決済の社会実験を開始
仮想通貨ニュース
【墨汁速報】 VISA イーサリアム上のドル“USDC”を利用した決済の社会実験を開始
クレジットカード世界最大手のVISA Incは自社の支払いネットワークにおいて、イーサリアム上のドル「USDC」を決済に使用することができる社会実験を開始したと発表。USDCはステーブルコインと呼ばれるイーサリアム上でドルと1:1に発行されるトークンであり、DeFi(非中央集権金融)の重要な要である。