【墨汁速報】約230億円の被害 イーサリアムのBeanstalk(BEAN)がハッキング被害を0ドルに暴落

イーサリアム上のクレジットベースのステーブルコインプロジェクト「Beanstalk(BEAN)」は、ハッカーのフラッシュローン攻撃により約230億円のハッキング被害を受けた。ハッカーはBeanstalkが発行するステーブルコインBEANや関連するLPトークンなどを盗んでロンダリングをしている。

関連記事:【墨汁速報】約720億円盗難 GameFi「アクシーインフィニティ」のRonin Bridgeがハッキング被害

イーサリアム上での大規模被害のDeFiハック止まらず

クレジットをベースに発行するアルゴリズミックステーブルコインプロジェクトの「Beanstalk」は、イーサリアムのレンディングプロトコル「アーベ(Aave)」を利用した10億ドル(約1264億円)のフラッシュローン攻撃により、カーブファイナンス(Curve Finance)とユ二スワップ(Uniswap)のBEANに関係するLPトークンと同プロジェクトが発行するステーブルコイン(ドルと同等の価値を持つトークン)のBEANなどが盗まれ、合計で約230億円の被害となっている。

出典:Etherscan - BEANハッカーによるフラッシュローン攻撃

BEAN価格は攻撃により0ドルへ暴落

またこのBeanstalkのハッキング被害では、ステーブルコインスワッププロジェクトのカーブファイナンス(Curve Finance)のLPトークンも含まれており、BEANは200万BEANが流動性プールに残されているのに対し、LUSDはわずか0.17ドルしかなくBEAN価格は今回の攻撃で0ドルとなってしまっている。

出典:Curve Finance - BEAN/LUSD流動性プール

BEANハッカーはETをロンダリング

Beanstalk公式は今回の約230億円のハッキング被害を認め、現在攻撃の詳細を調査中だと述べている。

しかしハッカーはすでに今回の盗んだETHをイーサリアムのミキシングサービス「トルネードキャッシュ(Tornado Cash)」を利用し、送金先を読み取りづらくするロンダリングを100ETH単位で行っており、攻撃に使用されたイーサリアムアドレスの0x1c5dCdd006EA78a7E4783f9e6021C32935a10fb4内には250ドル相当のETHしか残されていない。

出典:Etherscan - BEANハッカーによるトルネードキャッシュでのETHロンダリング

ここ最近のDeFiの攻撃被害は100億円単位を超えることが普通となっておきており、マイナープロジェクトの被害だけでなく、大手のアクシーインフィニティ(Axie Infinity)の720億円や、ソラナ(Solana)のブリッジのワームホール(Wormhole)の360億円などあとを絶たない。

大手プロジェクトは買収や資金調達での被害額補填の可能性が残されているものの、Beanstalkのようなマイナープロジェクトは被害額の補填は難しいといえるだろう。

 

BEANがハッキングされた理由(追記)

今回BEANが攻撃された理由としては、EIP-2355で提案されていたダイアモンド構造を採用していたこととハッカーがガバナンスを可決するための投票力を閾値の2/3以上を有にこすLPトークンをフラッシュローンで得たことが原因となっている。これに伴いハッカーの攻撃コントラクトを実行する悪意のある提案BIP-18が強制で可決され、結果として約230億円の被害となった。

このようなガバナンス自動化は人の手が必ず入る通常のガバナンスにおいて進んでいると言えるが、このような脆弱性の理由となることに注意が必要だ。DeFiでは高いAPY(年利)を得ることができるものの、運用する際にはプロジェクトがどうのようなシステムを採用しているか事前に把握しておく必要が有ると言えるだろう。

 

関連記事:【墨汁速報】被害額約360億円12万ETH以上 イーサリアムとSolanaのブリッジ”Wormhole”がハッキング被害

▼墨汁サロンではDeFiの攻撃概要の解説やイーサリアム2.0の最新動向や32ETHステーキングのやり方の解説や検証、テクニカル分析理論、最新のDeFiやファンダメンタルなどをより深く解説しています。

墨汁バナー

墨汁うまいと学ぶ仮想通貨の世界

おすすめの記事
【墨汁速報】米コインベース 過去にビットコインなどの仮装売買を行ったとしCFTCが罰金支払い命令
仮想通貨ニュース
【墨汁速報】米コインベース 過去にビットコインなどの仮装売買を行ったとしCFTCが罰金支払い命令
米商品先物取引委員会(CFTC)によると、米最大手仮想通貨取引所コインベース(Coinbase)は2015年~2018年にかけてビットコイン(BTC)などの出来高を多く見せたりする仮装売買などの虚偽の情報や誤解させる情報をユーザーに与えたとし、CFTCに約7億円の罰金を支払う。