DefiレンディングサービスbZxで再度、価格操作ハック
DeFiのレンディングサービスbZxで再度、価格操作ハックをされたことが明らかになった。
今回、ユーザーが価格操作ハックに利用したプロトコルは、Flash Loans、bZx、Synthetix、Uniswap、KyberNetworkとなっている。
この価格操作ハックのプロセスを6つに分けて説明する。
1)ユーザーはFlashLoansで7,500ETHを借りる。
2)Flash Loansで借りた7,500ETHのうち3,518ETHをSynthetixで利用して、900sUSDを手にする。
3)900sUSDを担保にbZxで3518ETHのロングポジションを取る。
4)Flash Loansで借りた7500ETHのうち900ETHを利用して、KyberNetworkで360sUSD、Uniswapで540sUSDを交換する。
5)sUSDの価格が高まり、保有する900sUSDを利用して、2)の担保を外し、6,798ETHを手にする。
6)Flash Loansで借りた7500ETHを返済。返済しても、ユーザは2,378ETH($645,000)を保有することができ、それが利益となる(7,500ETHー3,518ETHー900ETH+6,796ETHー7,500ETH)
最終的に、bZxETHの準備金は約180万ドルを失い、sUSDの準備金は110万ドルを獲得した。
Defiサービスを手がけるCompoundのFounderのRobert Leshner(ロバート・レシュナー)氏は「セキュリティの担保は、金融商品を扱う上で最優先事項です。 bZxチームは、ユーザーの資金を保護できない問題を繰り返し実証しており、プラットフォームを安全かつ完全に監査できるようになるまで、運用を停止する必要があると考えます」とコメントしている。
編集部のコメント
CompoundのRobert Leshner氏が厳しく批判している通り、DeFiはテクノロジー基盤の金融サービスですので、セキュリティ面は強く意識して開発しなければならないと考えています。
フェールセーフ設計に基づき、たとえ被害にあったとしても、最小の被害に合う設計にしなければならないと思います。オンチェーンガバナンスでのオラクル問題がどう改善されていくかはDeFiサービスの普及の礎になるのではないか、とあたらしい経済編集部は考えています。
コメント:竹田匡宏(あたらしい経済)
(images:LuckyStep48)