【墨汁速報】DeFiアグリゲーターBadger DAOでハッキングか 10億円以上の被害

イーサリアムDeFi上でのビットコイン運用にフォーカスしたイールドアグリゲータの「Badger DAO」が、10億円以上のイーサリアム上のビットコインや、DIGG、CVXやCRVがハッキングされて不正に引き出さたことを発表。

<Badgerのハッキングか?

Badger DAOはハッキングと見られる不正な引出しがあっとの報告を受けたことを発表。公式の発表によるとBadgerエンジニアが現在調査をしており、さらなる被害を防止するためにすべてのスマートコントラクトを一時的に停止しているという。

現時点ではBadger DAOのコントラクト自体にはバグなどの問題はないと見られるが、Badgerユーザーによると不審なApprove(送金の許可)を求められたとしている。これらのことからBadgerの公式やその他アグリゲータなどのフロントエンドがハッキングされ、DNSポイズンなどの偽のサイトに飛ばされた可能性が高い。

この偽のサイトでハッカーのコントラクトに送金の許可署名をしてしまうと、ハッカーは自由に署名した被害ユーザーの保有するトークンを送金できるようになってしまう。

Badgerでの被害総額

ハッカーのアドレスは0x1B1b391D1026A4e3fB7F082ede068B25358a61F2となっており、Badger DAOの被害は主にイーサリアム上で運用されているビットコイン(WBTC)やCRVブーストアグリゲータのConvex Financeが提供するガバナンストークンCVXや、ブーストに使用するためのステーキング時に発行するcvxCRVなども被害となっている。

136119bcvxCRV
100bDIGG
53bibbtc/sbtcCRV-f
64213bveCVX
2WBTC

など10億円以上の被害にあっている。

DeFiの送金許可に注意

今回の被害はBadger DAOのイーサリアム上のコントラクトの被害ではなく、Badger DAOの公式サイトがハッカーによりすり替えられたことが原因であると見られるため、ユーザーは公式サイトにアクセスしたはずがハッカーのサイトに飛ばされていたことになる。

これはURLなどでは気づくことはできないが、イーサリアムを利用している場合は事前に防ぐことができる。署名する先やトランザクションの中身を事前に確認することで、不審な送金許可要求に署名しないことが最大の対策となるのだ。たとえハッカーが公式サイトを改ざんしたり、DNSポイズンなどで偽のフィッシングアドレスに許可をさせようとしても、Badger DAOのコントラクトアドレスは変更できないからだ。

DeFiは20%など比較的安全なプロジェクトでも高いAPY(利回り)を出せる一方、これらの基礎的な部分を気をつけることが最も重要と言えるだろう。

 

▼墨汁サロンではイーサリアムで安全にDeFiを使用する際の注意点やイーサリアム2.0、ファンダメンタルなどをより深く解説しています。

墨汁バナー

墨汁うまいと学ぶ仮想通貨の世界

おすすめの記事
【墨汁速報】イーサリアム2.0初の大型アップデート”アルタイル(Altair)”の実装が無事成功
仮想通貨ニュース
【墨汁速報】イーサリアム2.0初の大型アップデート”アルタイル(Altair)”の実装が無事成功
イーサリアム2.0のBeacon ChainメインネットがEpoch74240を迎え、初となる大型アップデート「アルタイル」ハードフォークが実装された。テストネットでは8月に既にテスト実装されており、メインネットでの実装予定が10月27日前後となっていた。詳細を解説します。
地域で異なるビットコインの価値、日本と南アフリカでは過去最高レベル
仮想通貨ニュース
地域で異なるビットコインの価値、日本と南アフリカでは過去最高レベル
ドル建てのビットコイン(BTC)価格は5万2,000ドル前後で推移しており、過去最高値の6万9,000ドルにはまだ遠く及びませんが、円建てと南アフリカランドではすでに過去最高値を更新しています。地域経済の状況により、ビットコインの価値が異なるという奇妙な状況が現れています。