イーサリアムのプログラミング言語”バイパー(Vyper)”の脆弱性を利用してDeFi(分散金融)のカーブファイナンス(Curve Finance)を攻撃したハッカーが運営との交渉に応じてETHとalETHを一部返金するも、「救済を目的としたホワイトハットとしてのハッキング」と主張し約6.24億円の報酬を要求。カーブファイナンスは公式のCRV/ETH流動性プールを含む64億円を超えるハッキング被害を受けていた。
関連記事:【墨汁速報】64億円超えの被害 イーサリアムのコントラクト開発言語のVyper脆弱性が起因
カーブファイナンスハッカーが返金交渉に応じる
スマートコントラクト開発言語の”バイパー(Vyper)脆弱性”により64億円を超えるハッキング被害を受けたDeFiプロジェクトのカーブファイナンス(Curve Finace)は、ハッカーに対して「脆弱性によるセキュリティ問題を発見した報酬として10%を取り分とし、90%を返金することで法的にハッキング行為を追求しない」とイーサリアム上のオンチェーンメッセージで交渉。ハッカーは日本時間2023年8月4日21:55にこの交渉に応じる姿勢を見せ、盗んだETHとalETHの返金を開始した。
アルケミックス(Alchemix)流動性プールのハッキング被害合計は
・7,258.70 WETH(ETH)
・4,821.55 alETH
となっており、12,080.25ETH日本円にして約31.4億円が盗まれている。ハッカーはこれまでに1000ETH単位で複数回にわけて返金しており、これまでに約7000ETH(18.2億円)を返金するも5000ETHを交渉材料として残している状態だ。
DeFi超速報:Curve FinanceのCRV/ETHプールとAlchemixのalETHハッカーがオンチェーンメッセージを送信後、1000alETHを開発者のマルチシグアドレスへ返金。どうやら10%を報酬としてもらい、90%を返金して法的に追跡しない交渉に従う模様#イーサリアム #ETH #仮想通貨 #暗号資産 #DeFi #CRV #Curve pic.twitter.com/Jx1NHuTxMF
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) August 4, 2023
関連記事:【墨汁速報】イーサリアムL2の「ジーケーシンク(zkSync)」で初のハッキング 報酬キャンペーンで被害が増加か
ホワイトハット行為であり悪意はないと主張
カーブフィナンスのハッカーによると「他のJPEGd(pETH)流動性プールのハッキングを見てプロジェクトを救済するために悪意はない”ホワイトハット”として資産を一時的に確保した」と主張、カーブフィナンス運営が交渉している10%の報酬では少なく、20%の2400ETH日本円にして約6.24億円を請求している。
DeFi速報:Curve FinanceのAlchemix(alETH)流動性プールのハッカーが返金を停止、「JPEGd(pETH)のハッキングを見てホワイトハットとしてETHをドレインした」と主張。10%のバウンティ報酬は低く20%の2400ETH(6.24億円)が妥当とし交渉🤔#イーサリアム #ETH #仮想通貨 #暗号資産 #DeFi #alETH #Curve pic.twitter.com/bLA445anCj
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) August 4, 2023
対してJPEGd流動性プールのpETHはほぼ全額となる6105.75ETHを運営に対して返金しており、JPEGdの運営は報酬として610.6ETHをハッカーに対して支払うことを約束するオンチェーンメッセージを送信しており、これらを運営側が補填してユーザーに全額返金することを明示している。
つまり対応が被害にあった流動性プールごとに異なるためカーブファイナンスのハッカーは複数存在しており、利用していた流動性プールによって全額被害にあっているのか、全額返金されるのかが異なるということになる。現状カーブファイナンス公式のCRV/ETH流動性プールのハッカーは沈黙を貫いており、交渉に応じる素振りは見られない。
関連記事:【墨汁速報】推定仮想通貨被害141億円 創設者失踪のマルチチェーン(MULTI)ハッキング被害か
▼仮想通貨(暗号資産)の仕組みや技術、規制の市場影響を勉強するなら「墨汁うまいと学ぶ仮想通貨の世界」!他では見ることができないより詳しい内容を投資家向けにわかりやすく解説
BTC 
ETH 
XRP 
BCH 
LTC 
XEM 
BNB 
