「Sushi」ハッキングで約4億円が流出、被害額の一部は回収

Sushiで4億円規模のハッキングが発生

分散型取引所(DEX)の「スシ(Sushi)」が4月9日にスマートコントラクトの脆弱性を突いた330万ドル(約4億円)規模のハッキング被害を受けた。

なお今回のハッキングでは流動性プールは被害を受けておらず、「スシ」のユーザーのウォレットから資金が流出した形となった。

流出した資金のほとんどは1人のユーザーのものであることが分かっており、流出資金のうち100ETHはスマートコントラクト監査を提供するブロックセク(BlockSec)によって回収され4月10日に返還されたことが分かっている。

また「スシ」は4月10日に「すでに脆弱性のあったスマートコントラクトを取り除いており、現在ハッキングによって流出した資金の回収と被害を受けたアドレスの特定を行っている」と公式ツイッターにて表明。また回収した資金を被害者に返還するための計画を策定しているという。

今回ハッキングを受けたスマートコントラクトは、「スシ」でスワップを行う際に利用される「RouterProcessor2」だったという。なおその他のコントラクトについては被害を受けていないとのこと。

「スシ」のヘッドシェフであるジャレッド・グレイ(Jared Gray)氏はユーザーに対して、すべてのチェーンで該当するコントラクトをリボーク(Revoke)することを推奨している。

DeFi(分散型金融)のTVL(総預かり資産)や取引量などの情報を収集し公開しているDefi Llama(ディファイラマ)を開発する0xngmi氏は自身のツイッターで、ハッキングの被害を受け資金が流出する可能性があるのは4月9日から過去4日のうちに「スシ」を利用したユーザーのみであると語っている。またリボークの必要があるスマートコントラクトのリストも公開している。

リボークとはスマートコントラクトで行った承認(approve)プロセスを上書きする処理で、該当するスマートコントラクトでのトークン使用を不可能にするものだ。

なお現在ハッキングの混乱に乗じた偽アカウントを利用したなりすまし詐欺も出現しており、注意喚起がされている。

関連ニュース

デザイン:一本寿和
images:iStocks/LuckyStep48

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属 格闘技やオーケストラ、茶道など幅広い趣味を持つ。 SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。