【墨汁速報】DeFiアグリゲーターBadger DAOでハッキングか 10億円以上の被害

イーサリアムDeFi上でのビットコイン運用にフォーカスしたイールドアグリゲータの「Badger DAO」が、10億円以上のイーサリアム上のビットコインや、DIGG、CVXやCRVがハッキングされて不正に引き出さたことを発表。

<Badgerのハッキングか?

Badger DAOはハッキングと見られる不正な引出しがあっとの報告を受けたことを発表。公式の発表によるとBadgerエンジニアが現在調査をしており、さらなる被害を防止するためにすべてのスマートコントラクトを一時的に停止しているという。

現時点ではBadger DAOのコントラクト自体にはバグなどの問題はないと見られるが、Badgerユーザーによると不審なApprove(送金の許可)を求められたとしている。これらのことからBadgerの公式やその他アグリゲータなどのフロントエンドがハッキングされ、DNSポイズンなどの偽のサイトに飛ばされた可能性が高い。

この偽のサイトでハッカーのコントラクトに送金の許可署名をしてしまうと、ハッカーは自由に署名した被害ユーザーの保有するトークンを送金できるようになってしまう。

Badgerでの被害総額

ハッカーのアドレスは0x1B1b391D1026A4e3fB7F082ede068B25358a61F2となっており、Badger DAOの被害は主にイーサリアム上で運用されているビットコイン(WBTC)やCRVブーストアグリゲータのConvex Financeが提供するガバナンストークンCVXや、ブーストに使用するためのステーキング時に発行するcvxCRVなども被害となっている。

136119bcvxCRV
100bDIGG
53bibbtc/sbtcCRV-f
64213bveCVX
2WBTC

など10億円以上の被害にあっている。

DeFiの送金許可に注意

今回の被害はBadger DAOのイーサリアム上のコントラクトの被害ではなく、Badger DAOの公式サイトがハッカーによりすり替えられたことが原因であると見られるため、ユーザーは公式サイトにアクセスしたはずがハッカーのサイトに飛ばされていたことになる。

これはURLなどでは気づくことはできないが、イーサリアムを利用している場合は事前に防ぐことができる。署名する先やトランザクションの中身を事前に確認することで、不審な送金許可要求に署名しないことが最大の対策となるのだ。たとえハッカーが公式サイトを改ざんしたり、DNSポイズンなどで偽のフィッシングアドレスに許可をさせようとしても、Badger DAOのコントラクトアドレスは変更できないからだ。

DeFiは20%など比較的安全なプロジェクトでも高いAPY(利回り)を出せる一方、これらの基礎的な部分を気をつけることが最も重要と言えるだろう。

 

▼墨汁サロンではイーサリアムで安全にDeFiを使用する際の注意点やイーサリアム2.0、ファンダメンタルなどをより深く解説しています。

墨汁バナー

墨汁うまいと学ぶ仮想通貨の世界

おすすめの記事
【墨汁速報】イーサリアムL2ブリッジ ホップ(Hop Protocol)がHOPエアドロップを発表
ニュース
【墨汁速報】イーサリアムL2ブリッジ ホップ(Hop Protocol)がHOPエアドロップを発表
イーサリアムのL2とEVMチェーンへのブリッジを提供するホッププロトコル(Hop Protocol)は、ガバナンストークンのHOPトークンの発行とエアドロップ、Hop DAOのローンチを発表した。イーサリアムL2関連のエアドロップはオプティミズム(Optimism)のOPトークンにより、今後もトレンドとなっていくだろう。