Curveエクスプロイトのハッカーが一部返金
7月31日に発生したDeFi(分散型金融)プロトコルのカーブファイナンス(Curve Finance)提供の流動性プールのハッキングを行ったハッカーが、盗み出した資金の一部を返還した。
カーブファイナンスは7月31日、スマートコントラクトを開発するためのプログラミング言語「Vyper(ヴァイパー)」の特定のバージョンに含まれていた脆弱性を突いた「リエントランシー(再入)攻撃」によりエクスプロイト被害にあった。被害額は様々な推測が行われていたが、先日、約6,170万ドル(約87.7億円)であったことが分かっている。
なお「リエントランシー攻撃」は、スマートコントラクト内の関数実行中に別の関数の実行を割り込ませるなどして、何度も引き出しや送金の実行を行うものだ。
カーブファイナンスはハッカーに対して、盗み出した資金のうち10パーセントにあたる185万ドル(約2.6億円)を報奨金として与える代わりに8月6日8:00UTC(協定世界時)までに資金の全額返金を要請した。
ハッカーは同要請に対し、「プロジェクトを救済するために悪意はない『ホワイトハット』として資産を一時的に確保した」と主張し、カーブファイナンスが提案する10パーセントの報酬ではなく、20パーセントを請求した。
なおハッカーは盗み出した資金のうち、Curveのプールを利用するアルケミクス(Alchemix)に4,500万ドル(約64億円)相当、同じくジェーペグド(JPEG’d)に1,000万ドル(約14億円)相当の、合わせて5,500万ドル(約78.2億円)の資金を返金したという。
しかし被害を受けた他のプロジェクト、および残りの資産は返金されず返済期限を迎えた。そのためカーブは、ハッキングの犯人を法廷での有罪判決につながるような形で特定できた者に対し、報奨金185万ドルを与えると発表している。
なお返金に際しハッカーは、「ばかげた意見をいくつか見たので、あなたに返金するのは、あなたが私を見つけられるからではなく、あなたのプロジェクトを台無しにしたくないからであることを明確にしたいと思います。おそらくそれは多くの人にとって多額のお金ですが、私にとってそうではありません、私はあなたたち全員よりも賢いです(一部略)」とオンチェーンメッセージを残している。
ちなみに同ハッキングはイーサリアムネットワークに過去最大のMEV報酬が発生するブロックを発生させた。当該のブロックはスロットが6,992,273で報酬額は584ETHとなったという。
The deadline for the CRV/ETH exploiter passeshttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
— Curve Finance (@CurveFinance) August 6, 2023
関連ニュース
- イーサリアムのMEV報酬が過去最高額に、Curve Financeハッキングきっかけで
- Curve Finance、ハッキング被害で約100億円の不正流出
- Curve Finance、ステーブルコイン「crvUSD」発行担保として「wstETH」サポート開始
- Curve Financeがステーブルコイン「crvUSD」発行、スクリプトのミス発見も再デプロイで対応済み
- DeFiプロトコル「Curve Finance」、イーサL2「zkSync2.0」でローンチへ
参考:オンチェーンメッセージ
デザイン:一本寿和
images:iStocks/LuckyStep48