イーサリアムのステーキングを行う無料のオープンソース開発ソフトを提供することで知られているDappNodeは、開発者の秘密鍵が流出したと発表。このハッキングによりDappNodeのガバナンストークンである$DAPPトークンはハッカーの投げ売りによって価格が10分の1へと暴落した。
関連記事:【墨汁速報】イーサリアム"マージ"ついに完了!約9年越しの構想が実現し電気代が99%減少
ハッカーがDappNodeの秘密鍵を再現か?
ハッカーはDappNodeが流動性マイニングプログラムに使用しているスマートコントラクトの秘密鍵をなんらかの方法で入手し、ステーキングされていたすべてのLPトークン(流動性マイニングトークン)を引き出したと発表。
その後DappNodeのイーサリアム上のガバナンストークンである「NODE」を投げ売りしたことで、NODEトークン価格は10分の1に暴落した。DappNode運営は現在被害範囲と影響を受けたアドレス(アカウント)を現在調査中であるとしている。
速報:イーサリアムステーキングのFOOS(無料の公開開発ソフト)などを提供するハブの「DappNode」の開発者用秘密鍵が流出、ハッカーがすべてのステークされていたLPトークンを引出し、NODEトークンを投げ売りしたことで価格が10分の1に暴落。#イーサリアム #DeFi #仮想通貨 #暗号資産 #NODE $NODE pic.twitter.com/zzbB7saMnq
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) October 30, 2022
プロファニティ(Profanity)のバニティアドレスの脆弱性が原因か?
今回のハッキングは秘密鍵が流出したとみられるものの、現時点ではプロファニティ(Profanity)のバニティアドレス(Vanity Address)の脆弱性と同様の「秘密鍵の再現」が原因だとみられている。
これはどのような脆弱性かというと、本来所有者しか有していないアカウントの秘密鍵を総当り計算で特定するというものだ。つまり秘密鍵を安全にオフラインで保管していたり、スマートコントラクトが問題なく開発されていたとしても、ハッカーはその秘密鍵を再現できてしまうということになる。
DappNodeの被害額は?
筆者がDappNodeの攻撃を分析したところ、ハッカーのコントラクトアドレスは0xbe7518a34dF454157D68a36096DA1554AfDe1806であるとみられ、攻撃は
の2回であると判明した。
被害額は32.88ETHと24.192ETHの合計57.072ETH(約1,341万円)と77.9万NODEと107.1万NODEで当時の価格で約1336万円、合計で2677万円が被害を受けたとみられる。
Uniswap v2とSushiswapから運営が提供する流動性をドレインしたことでNODEを売買する流動性が枯渇、本来1336万円相当するNODEは99%オフとなるわずか0.646ETHの15.2万円前後で売却されたことになる。
イーサリアムステーキングに影響はあるのか?
DappNodeはイーサリアムバリデータとして32ETHをステーキングし、バリデータとなることができるソフトウェアを提供していることで有名だ。今回のハッキングは秘密鍵を再現したとみられるため、ステーキング時に自身で安全に秘密鍵を管理している場合影響はないと見られる。
あくまでDappNodeはイーサリアム上の「Dapps等のハブ」であるため、現時点では提供するOSやソフトには問題ないと考えられるということだ。
一方でこのような秘密鍵の再現は運営側のリテラシーが問われるため利用者は対策をすることができず、被害額は大きくないもののマイナープロジェクトが次々に標的にされていることから気をつけたい。
▼墨汁サロンでは投資家向けにDeFiやNFTのセキュリティ対策、イーサリアム2.0の仕組みや技術、マージ対応の32ETHステーキングのやり方の解説や検証、テクニカル分析理論、ファンダメンタルなどをより深く解説しています。
BTC 
ETH 
XRP 
BCH 
LTC 
XEM 
BNB 
