DeFi「Balancer」から約30億円が不正流出、脆弱性発見で出金要請後に

Balancerから約30億円が不正流出

大手分散型取引所(DEX)のバランサー(Balancer)が、エクスプロイト被害を受けたことが8月27日に明らかになった。

スマートコントラクト監査サービス提供のベオシン(Beosin)運営の公式X(旧ツイッター)ベオシンアラート(Beosin Alert)が、バランサーの被害について報告しており、それについてバランサーも公式Xにて認めている。報告時点の被害額は約1.3億円(約90万ドル)だったが、現在その額は2,100万ドル相当(約30億円)にまで膨らんでいる。

なおエクスプロイトとは、資金の不正流出のこと。今回のエクスプロイトは、バランサーが以前に報告した脆弱性に対し攻撃されたものである。

バランサーは8月23日、同プロトコルの一部のプールに脆弱性を発見したとし、流動性プールからの資金の引き出しをユーザーに要請した。また同時に被害を受ける可能性のあるいくつかのプールの一時停止も発表した。

この脆弱性の被害を受ける可能性があるのはTVL(総預かり資産額)の1.4パーセントであるとしており、被害を受ける可能性のあるプールの参加者に向けて資金引き出しを容易にするツールも公開していた。

バランサーは8月25日上記の発表に続いて「当初脆弱だと思われていた流動性の 99.7% 以上が現在は安全です。この脆弱性は悪用されておらず、資金の損失も発生していません。ただし、TVL 総額の 0.08%(565,199 ドル)は依然としてリスクにさらされており、ユーザーはUIを使用して、できるだけ早く撤退するよう推奨します」と述べた。

しかしながら実際のエクスプロイトの被害額は、この額を大きく上回った。だがこれは被害を想定していなかったプールが被害を受けたわけではないとのことだ。

今回のエクスプロイトは、バランサーが一時停止できないプールが受けた被害であり、複数のフラッシュローン攻撃によるものであることが分かっている。またバランサーは、さらなる資金流出を防ぐためにユーザーに対し、引き続き資産の引き出しを呼びかけている。

なお8月29日12:20頃にベオシンアラートより被害額についてアップデート情報が報告されている。

その情報によると攻撃者は5つのアドレスに、イーサリアム(ETH)、ファントム(FTM)、オプティミズム(OPT)を不正流出させたとのことで、被害額は合計で2,100万ドル相当(約30億円)に及ぶとのことだ。

バランサーはガバナンストークンBALを発行しており、その希薄後時価総額は約493億円だ。なおエクスプロイトが原因とみられるトークン価格の下落は記事執筆時点(8/29 12:00)では起こっていない。

関連ニュース

デザイン:一本寿和
images:iStocks/koyu

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属 格闘技やオーケストラ、茶道など幅広い趣味を持つ。 SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。