Balancerから約30億円が不正流出
大手分散型取引所(DEX)のバランサー(Balancer)が、エクスプロイト被害を受けたことが8月27日に明らかになった。
スマートコントラクト監査サービス提供のベオシン(Beosin)運営の公式X(旧ツイッター)ベオシンアラート(Beosin Alert)が、バランサーの被害について報告しており、それについてバランサーも公式Xにて認めている。報告時点の被害額は約1.3億円(約90万ドル)だったが、現在その額は2,100万ドル相当(約30億円)にまで膨らんでいる。
なおエクスプロイトとは、資金の不正流出のこと。今回のエクスプロイトは、バランサーが以前に報告した脆弱性に対し攻撃されたものである。
バランサーは8月23日、同プロトコルの一部のプールに脆弱性を発見したとし、流動性プールからの資金の引き出しをユーザーに要請した。また同時に被害を受ける可能性のあるいくつかのプールの一時停止も発表した。
この脆弱性の被害を受ける可能性があるのはTVL(総預かり資産額)の1.4パーセントであるとしており、被害を受ける可能性のあるプールの参加者に向けて資金引き出しを容易にするツールも公開していた。
バランサーは8月25日上記の発表に続いて「当初脆弱だと思われていた流動性の 99.7% 以上が現在は安全です。この脆弱性は悪用されておらず、資金の損失も発生していません。ただし、TVL 総額の 0.08%(565,199 ドル)は依然としてリスクにさらされており、ユーザーはUIを使用して、できるだけ早く撤退するよう推奨します」と述べた。
しかしながら実際のエクスプロイトの被害額は、この額を大きく上回った。だがこれは被害を想定していなかったプールが被害を受けたわけではないとのことだ。
今回のエクスプロイトは、バランサーが一時停止できないプールが受けた被害であり、複数のフラッシュローン攻撃によるものであることが分かっている。またバランサーは、さらなる資金流出を防ぐためにユーザーに対し、引き続き資産の引き出しを呼びかけている。
なお8月29日12:20頃にベオシンアラートより被害額についてアップデート情報が報告されている。
その情報によると攻撃者は5つのアドレスに、イーサリアム(ETH)、ファントム(FTM)、オプティミズム(OPT)を不正流出させたとのことで、被害額は合計で2,100万ドル相当(約30億円)に及ぶとのことだ。
バランサーはガバナンストークンBALを発行しており、その希薄後時価総額は約493億円だ。なおエクスプロイトが原因とみられるトークン価格の下落は記事執筆時点(8/29 12:00)では起こっていない。
Update:
— Beosin Alert (@BeosinAlert) August 29, 2023
🚨The @Balancer exploiters have gained a total of ~$2.1M
ETH:
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1
0xed187f37e5ad87d5b3b2624c01de56c5862b7a9b
0x429313e53a220c4a5693cad1da26ae5045b5762f
FTM:
0x64E08fa89C2bAE9F123cc8a293775f0E6CC86760
OPT:… https://t.co/8N0BQyHJ0S pic.twitter.com/tXagAdVzkT
Balancer is aware of an exploit related to the vulnerability below.
— Balancer (@Balancer) August 27, 2023
Mitigation procedures have drastically reduced risks, but are unable to pause affected pools.
To prevent further exploits, users must withdraw from affected LPs.https://t.co/PDzX32gqeS https://t.co/b4CSqVFbDg
関連ニュース
- ステーブルコイン発行の「Harbor Protocol」、エクスプロイト被害を報告
- ビットトレードにコスモス(ATOM)上場へ、国内3例目
- gumiのシンガポール子会社、コスモスハブ(ATOM)のバリデータに参加
- ポルカドット(DOT)エコシステム、コスモス(ATOM)のインターチェーンに参加へ
- SBI VCトレードのステーキングサービスにコスモス(ATOM)追加
デザイン:一本寿和
images:iStocks/koyu