DeFi Cashioでハッキング被害発生
ソラナ(Solana/SOL)ベースのDeFi(分散型金融)アプリケーションであるDeFi App Cashioがハッキング被害に遭い、約5,000万ドル(約60億円)を失ったことが明らかになった。
Please do not mint any CASH. There is an infinite mint glitch.
We are investigating the issue and we believe we have found the root cause. Please withdraw your funds from pools. We will publish a postmortem ASAP.
— Cashio ($CASH) 💵 (@CashioApp) March 23, 2022
現金を鋳造しないでください。無限のミントグリッチがあります。
私たちは問題を調査しており、根本的な原因を見つけたと信じています。プールから資金を引き出してください。事後分析をできるだけ早く公開します。
報道によると、SolanaベースのDeFiアプリケーションであるCashioは、アプリのステーブルコインであるCASHを鋳造させるハッカーの攻撃を受けたとのこと。Cashioは、この問題を調査しており、根本的な原因を発見した可能性があると通知しており、ユーザーにプールから資金を引き出し、次のステートメントまで待つように指示している。
ハッキング実行犯は他のハッキングにも関与か
仮想通貨セキュリティ研究者のサム・シサン(Sam Czsun)氏によると、Cashioは使用するすべてのアカウントのルートオブトラストを確立しておらず、ハッカーは偽アカウントのチェーンを偽造することによって、資金を盗み出したとのこと。
Cashioは、SolanaベースのDeFiアプリケーションであり、ユーザーはCASHステーブルコインを鋳造できる機能が備わっている。すべての預金は利子付きの流動性プロバイダートークンに支えられており、テザー(Tether/ USDT)とUSDコイン(USD Coin/USDC)で流動性を提供することでCASHを鋳造できるようになっている。
今回の事件では、ハッカーがこれらの鋳造システムに脆弱性を発見し、十分な裏付けがないまま、無限にCASHを鋳造できるようになっていたとのことだ。Solanaブロックチェーンを検索および情報提供しているSolscanのデータによると、ハッカーは20億枚のCASHステーブルコインを鋳造し、分散型取引所Saberを通じて他の仮想通貨に交換したとみられている。Saberは、この事件を受けてCASHの流動性プールを一時停止したことを発表しており、ハッキング攻撃の後、USDCは1ドルから0.00005ドルまで急落した。
一方で、Breadcrumbsのデータによると、今回のハッキングに利用された0x61fから始まるウォレットは、0xcDdで始まる別のウォレットからも資金を受け取っており、以前はFTXとBinance経由で資金を調達していたことが明らかになっている。そのため、このアドレスが複数の中央集権取引所とのやりとりにつながっていることを考えると、今回のCashioハッキングの犯人が、別のハッキング事件にも関与している可能性が高いと推測されている。