イーサリアムDeFiのレンディングプロトコル「Cream Finance」は、約150億円を超える資産が約1137億円のフラッシュローンを活用した攻撃によって盗まれた。Cream Financeへの攻撃は2021年に入って3回目となり、被害額は過去最高を記録した。
Cream Finance3度目の被害
イーサリアムのレンディングプロトコルCompoundのフォーク(コピー)であるCream Financeは、2021年に入って3度目の被害となる約150億円がハッカーによって盗まれた。1度目は2月に約40億円、2度目は8月に約20億円となっている。今回の3度目を含めると合計で200億円を超えることになり、8月のPoly Networkの675億円の被害額に次ぐDeFi市場2番目の被害額となる。
約1137億円を利用したフラッシュローンでの攻撃
今回のCream Financeへの攻撃は、2度目の被害と同様にフラッシュローンによるコントラクト内の資産をドレインする攻撃が原因となっている。フラッシュローンではコントラクトの性質を利用し、本来攻撃に利用する資金を借入する担保が必要となるが、1つのトランザクションで借入と返済を同時に行うことで無担保で攻撃に利用することができるDeFiのテクニックだ。
ハッカーの攻撃トランザクションによるとDAIやYearn FinanceのVualtmConvex FinanceやCurve Financeを駆使して約70の取引を1つのトランザクションで攻撃したことが分かる。フラッシュローンでは10億DAI、日本円にして約1137億円を利用した巨額の攻撃となっている。
ハッカーからのメッセージ
ハッカーはトランザクションに、「AaveとIron Bankはラッキーだったが、Creamは運がなかった」とメッセージを残している。
AaveやIron Bankは同じDeFiのレンディングプロトコルであり、今回の攻撃対象にはなっていない。
Cream FinanceのガバナンストークンであるCREAMは155ドル前後を推移していたが、この攻撃により一時的に110ドルまで下落し、現在は120ドル前後を推移してる。
BTC 
ETH 
XRP 
BCH 
LTC 
XEM 
BNB 
