【墨汁速報】エアドロップキャンペーン中のzkEVMスクロール対象DeFiハッキングで一時停止

2024年7月19日

墨汁うまい

イーサリアムのL2でありzkEVMとしても知られるスクロール（Scroll）は現在開催しているエアドロップのポイントキャンペーン対象の一つ、Rho Marketのハッキングに伴いファイナライズを一時停止したことを発表。スクロール運営によるとハッキングはチェーンの脆弱性ではなく、Rho Marketの脆弱性によるものであるという。

スクロールのレンディングでハッキング

イーサリアムのL2でzkEVMとしても知られ、リネア(Linea）やジーケーシンク（zkSync）に次ぐ利用者を抱えるスクロール（Scroll）は、現在公式に開催しているエアドロップポイントキャンペーンとなるスクロールセッションワン（Session One）のレンディング利用対象の「Rho Markets」がハッキングされたことを受け、ファイナライズを一時停止したことを発表した。

Rho MarketsはETHやUSDCやUSDTなどのステーブルコインを貸付することができ、そのかわりに借り入れたユーザーから金利を受け取ることができるいわゆるレンディングプロトコルだ。スクロールセッションは将来的なエアドロップとなるいわゆる「ポイントプログラム」であり、レンディング最大手のアーベ（Aave）とRho Marketsを利用することでポイントを得ることができた。

状況から推測するにハッカーはUSDCとUSDTを全額Rho Marketsからドレインしており、おそらくオラクル攻撃かバグにおける無限担保借り入れがハッキングの理由であると見られる。被害総額は約12億円となっており、ハッカーは既に盗んだステーブルコインをETHに売却してロンダリング済みだ。

ハッキング速報:イーサリアムzkEVMのScrollがエアドロキャンペーンとなる「Marks」のレンディングRhoMarketがハッキングされUSDCとUSDTが全てドレインされたことを受け、チェーンのファイナライズを一時的に停止していたことを発表。脆弱性はコントラクト起因でLineaと同じ賛否両論に
#イーサリアム pic.twitter.com/y4yDmsDX9L
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) July 19, 2024

リネアに続いてスクロールでもエアドロップキャンペーン狙いか

このようなエアドロップを直接行うのではなく、ポイントキャンペーンを行って他の強豪仮想通貨プロジェクトからユーザーを奪い合ういわゆるバンパイア攻撃はエアドロップにおいて一般的となっている。

一方で同じくイーサリアムL2のzkEVMであるリネア（Linea）も同様のポイントキャンペーンであるリネア・ボイジャー・サージ（Linea Voyager Surge）でユーザーを集めている中、対象の分散取引所のヴェロコア（Velocore)がハッキングされて一時的に停止するという対応に物議をかもしたのは先月のことだった。

ハッカーはエアドロップ狙いのユーザーが集まるところを狙い、意図的に攻撃したと見られる。エアドロップは１００万円から多ければジーケーシンクのように1000万円にも到達するためリターンが高い一方、注意深く対策しておかなければそれ以上の損失となることも多々あるということだ。

追記：ハッカーは意図的ではないと釈明

Rho Marketsのハッカーはオンチェーンメッセージにて今回のは攻撃ではなく、Rho Marketsチーム側がレンディングの担保を計算する際に使用するプライスオラクルの設定をミスしたことが原因であると指摘。このミスに対してハッカーのMEVボットが自動で反応してしまい、資金をドレインしてしまったと表明している。

そのため意図的な攻撃ではなく、ドレインされた資金はユーザーに100%帰属するため全額返金することを表明するも、その前に今後同じようなミスが起きないための対策を発表してほしいと述べている。筆者がハッカーのアカウントを分析したところ他のチェーンでの運用などもされており、アカウント自体の利用も200日前から行われているためこれまでのハッカーの利用しているアカウントと大きく異なることからこのメッセージは本当である可能性が高いと考えられるだろう。

ハッキング速報：ScrollのRho Marketsハッカーがオンチェーンメッセージで

「MEV BotがRHO側オラクルの設定ミスに気づきドレインしてしまった。全額返却する意思がありハッキングではない。返金前に対策を発表してくれ」

と伝える 🤔#イーサリアム #仮想通貨 #暗号資産 #エアドロップ #エアドロ https://t.co/5A94tyaJoU pic.twitter.com/PnL2OfPk5e
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) July 19, 2024

コラム：仮想通貨の闇、多くの人が知らないエアドロの問題点

▼仮想通貨（暗号資産）のエアドロップ対策、仕組みや技術、規制の市場影響を勉強するなら「墨汁うまいと学ぶ仮想通貨の世界」！他では見ることができないより詳しい内容を投資家向けにわかりやすく解説

墨汁うまいと学ぶ仮想通貨の世界

この記事を書いた人

墨汁うまい

イギリス在住経験から2016年に海外送金を行う際、ビットコインに出会い、未来を感じてトレードを開始。会社の経営経験を活かし、法人で資金運用を行う。The DAO事件からイーサリアムに興味を持ち事件や開発を追う。当時、イーサリアムやビットコインをはじめとする仮想通貨の日本語情報は少なく限られていたことから、国内外情報格差の解消のためTwitterやブログで開発や技術、中国規制、ハッキング事件などの情報発信を行う。自身の仮想通貨メディア「墨汁うまいと学ぶ仮想通貨の世界」でも情報を発信している。