Cream Finance が2度目のフラッシュローン攻撃に直面
分散型ローンプラットフォームであるCream Financeは、8月30日(月曜日)にフラッシュローン攻撃を受け、約1,800万ドル(約20億円)を失ったことが分かった。
Defi貸付プロトコルであるCream Financeのフラッシュローン攻撃は、Panic Shieldブロックチェーンセキュリティ、および分析会社によって検知され、DeFiプロトコルに警告されており、Cream FinanceはTwitter上で次のように述べた。
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021
AMPでの供給と借用を一時停止することで、エクスプロイトを阻止し、他の市場は影響を受けませんでした。
現在、これらの値はAMPで約2,300万ドル(約25億円)、ETHで約440万ドル(約4億8,300万円)に換算され、事件を調査しているセキュリティ会社のPeckShieldは少なくとも1,880万ドル(約20億6,535万円)の被害が出ていると結論づけた。
Dear Alpha community, we've been notified of an exploit on Alpha Homora V2. We're now working with @AndreCronjeTech and @CreamdotFinance together on this.
The loophole has been patched.
We're in the process of investigating the stolen fund, and have a prime suspect already.
— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021
Cream Financeでは、NEXTMONEYの特集記事「DeFiプロトコルAlphaFinance、3,750万ドル攻撃で悪用される」で報じたように、2021年2月13日に同じくフラッシュローン攻撃の被害を受けており、3,750万ドル(約41億円)の被害が報告されている。
減らないフラッシュローン攻撃
フラッシュローン攻撃実は安価のため、DeFiエクスプロイトの最も一般的な形式の1つであり、攻撃者はお金を貸すスマートコントラクトによって実施される無担保ローンを悪用することで攻撃を行う。
#FlashLoanAlert https://t.co/JPW7e368qd
— PeckShield Inc. (@peckshield) August 30, 2021
ハッカーは、最初に大量の担保を借りてフラッシュローン機能を操作し、次にそれを使用してプール内のトークンの価格を操作することでフラッシュローン攻撃が行われる。今回のCream Financeの攻撃者も、大量のAMPを手に入れることができ、その後このプロセスを17回繰り返すことで、市場はフラッシュを投棄して価格を暴落させることに成功している。また、DeFiMarketのエクスプロイトはピークに達しており、今月だけでもさまざまなDeFiプロトコルがフラッシュローン攻撃を受けてている。
NEXTMONEYの特集記事「PolyNetworkポリネットワークのクロスチェーンハックで6億1100万ドルが盗まれる」で報じているように、PolyNetworkでは6億1000万ドル(約670億円)相当のDeFiハッキングが起きている。これらのDefiプロトコルでの資金の脆弱性が浮き彫りになり、セキュリティは当初から大きな懸念事項であったが、あらゆる対策にもかかわらず、フラッシュローン攻撃は引き続き発生している。
一方、SEC(米国証券取引委員会)は現在、仮想通貨市場の規制に取り組んでおり、最近、ブロックチェーンセキュリティ分析会社と提携して広大な市場の分析を支援し、DeFiプロトコルへの多数の攻撃は、最も急速に成長している仮想通貨’エコシステムの1つの課題とされている。
