イーサリアムのスマートコントラクト開発言語の1つバイパー(Vyper)の脆弱性により、分散金融(DeFi)最大手のカーブファイナンス(Curve Finance)のバイパー言語を採用している流動性プールから約4566万ドル相当のETHとCRVがハッカーにより盗まれた。カーブファイナンス公式は現在ハッキングの影響と範囲を調査しているという。
関連記事:【墨汁速報】イーサリアムL2の「ジーケーシンク(zkSync)」で初のハッキング 報酬キャンペーンで被害が増加か
スマートコントラクト言語「Vyper」脆弱性でハッキング被害
イーサリアム上でDeFiやNFTなどのプロジェクトを開発するために使用されるプログラミング言語の1つ、バイパー(Vyper)はv0.2.15、0.2.16及び0.3.0で脆弱性が発見されたことを発表した。イーサリアムには本来ソリディティー(Solidity)というJavaScriptに影響された公式のプログラミング言語があるが、バイパーはPythonに影響されたスマートコントラクト開発言語となっている。
バイパー公式によるとこの脆弱性では意図しないリエントランシー攻撃を可能としてしまうという。つまり今回のハッキングではバイパーを採用しているDeFiやNFTのプロジェクトは潜在的にハッキングを受ける可能性があり、現状判明しているのはDeFi最大手のカーブファイナンスのバイパーを採用していた流動性プールが被害にあっていることが判明している。
カーブファイナンスの流動性プールが被害に
被害にあったのはバイパーを採用していた
JPEGd:pETH
メトロノーム(Metronome):msETH
アルケミックス(Alchemix):alETH
カーブファイナンス公式:CRV/ETH
となっており、推定被害額はカーブファイナンスだけで4116万ドル(約64億円)となっている。特にCRV/ETHプールからは700万CRVがハッカーによりドレインされたことで、CRV価格は約21%の下落を記録している。
DeFi速報(1/X):スマートコントラクト言語”Vyper”のv0.2.15、0.2.16及び0.3.0の脆弱性によりイーサリアム上の”Curve Finance”のalETH/msETH/pETHプールがハッキングされ、合計で約4116万ドル相当のETHが盗まれる#イーサリアム #ETH #仮想通貨 #暗号資産 #DeFi #ハッキング #CRV #Curve pic.twitter.com/H6E4JpERM3
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) July 30, 2023
関連記事:【墨汁速報】推定仮想通貨被害141億円 創設者失踪のマルチチェーン(MULTI)ハッキング被害か
バイナンスチェーン(BSC)でも同様の被害
バイパーはイーサリアムのスマートコントラクト言語だが、イーサリアムのコントラクト実行を行うバーチャルマシン「EVM」を採用している他のチェーンでもDeFiやNFTに使われている例もある。
例えば仮想通貨取引所バイナンスのEVMチェーンであるバイナンスチェーン(BSC)でも同様に使用されており、現在把握されている被害だけでも8.6万ドル相当のBNBが被害を受けている。プロジェクトの開発ミスではなく使用しているプログラミング言語の脆弱性という原因からさらなる被害の拡大や把握されていない被害が今後出てくる可能性があるため注意したい。
コラム:ブラックロックのビットコインETFは米国証券取引委員(SEC)に承認されるのか?
▼仮想通貨(暗号資産)の仕組みや技術、規制の市場影響を勉強するなら「墨汁うまいと学ぶ仮想通貨の世界」!他では見ることができないより詳しい内容を投資家向けにわかりやすく解説