チームファイナンス(Team Finance)のトラストスワップ(Trust Swap)がハッキングされ、管理していた分散取引所であるユニスワップの流動性がドレインされた。このトラストスワップの被害はイーサリアム(ETH)を含む約19億円となる。
関連記事:【墨汁速報】ハッキングで約858億円分のBNBが盗まれるもBSC停止と対応で625億円を凍結
トラストスワップの19億円のハッキング被害
トラストスワップのハッキング被害はイーサリアム上の分散取引所「ユニスワップ(Uniswap)」の集中流動性を実装した「v3」へ新規移行するための「v2からv3へ移行ファンクション」を介して1450万ドル、日本円にして約19億円がドレインされた。
ハッカーのアドレス(0xBa399a2580785A2dEd740F5e30EC89Fb3E617e6E)によると被害は
・880.25ETH
・6,429,327.65886799 DAI
・74,613,657,577,043.9 CAW
・11,837,577.7213003 TSUKA
・17.8BlueSparrowToken
となっている。
ハッカーはチームファイナンスのコントラクト脆弱性を利用して管理されていたユニスワップv2のLPトークンをドレインし、ETHやDAIなどの仮想通貨を引出したということになる。
DeFi速報:Team FinanceのTrust Swapがハッキングされ880ETHと642万DAIなどを含むERC20トークンがドレインされ、被害額合計は約19億円。ハッカーはコントラクトの脆弱性を利用してUniswap v2の流動性をv3移行コントラクトを介してLP引き出した模様#イーサリアム #仮想通貨 #DeFi #ハッキング pic.twitter.com/o71s5wrWDv
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) October 27, 2022
多様化するハッキング手法
チームファイナンスによるとハッキングを引き起こした脆弱性を解決するまで一時的にすべての機能を停止すると発表。現時点でチームファイナンス上にある全ての資産は安全であると主張している。
コントラクトの実行処理の間をついて資産を横貫する「リエントランシー攻撃」は2016年のザ・ダオ(The DAO)ハッキングにより開発者達の間で共有されているが、現在のDeFiのハッキングでは多くの新しい手法や個別のコントラクト脆弱性により多様化している。
2022年10月の時点でDeFiやブリッジのハッキングにおける被害総額は30億ドル(約4,400億円)を超えており、対策の共有によってセキュリティが向上するのはまだまだ時間がかかるのが現実だろう。
DeFi市場の成熟とこれらのハッキング事例は経験となり、世界の規制が進むことでより良い”分散金融”を実現することになるまで、資産の自己管理が大切だ。
関連記事:【墨汁速報】香港は中国本土の仮想通貨禁止に反して規制緩和を検討 個人投資家の資金流入となるか?
▼墨汁サロンでは投資家向けにDeFiやNFTのセキュリティ対策、イーサリアム2.0の仕組みや技術、マージ対応の32ETHステーキングのやり方の解説や検証、テクニカル分析理論、ファンダメンタルなどをより深く解説しています。