「Thala」がハッカーと交渉し2,500万ドル以上を回収
アプトス(Aptos)上でサービスを提供している分散型金融(DeFi)サービスの「タラ(Thala)」が、流動性プールから2,550万ドルを盗み出したハッカーとの交渉で、同額以上の資金を取り戻した。「タラ」の公式Xより11月16日に発表された。
その発表によると、「タラ」は今回の交渉に盗難回収団体シール911(SEAL 911)とオーグルセキュリティグループ(Ogle Security Group)の協力を得て、犯人へバグ報奨金30万ドルを支払う代わりに資金の返還を実現したとのことだ。
シール911のメンバーは、今回は実際に交渉が必要なく返金までの工程が驚くほど簡単だったと伝えているとのこと。具体的には、オンチェーン情報からホワイトハットハッカーを特定したのち、同ハッカー自らによる連絡があったという。そして同ハッカーは報奨金を差し引いた額をすぐに直接返金したという。
資金流出の原因となった脆弱性があったのは「タラ」提供のv1ファーミングプロトコルのコントラクトであり、影響を受けたユーザーのポジションは100パーセント元通りになるとのこと。
しかし、コントラクトとフロントエンドはプロトコル全体が完全に安全になるまで一時停止されたままになるという。
現在はファーミング以外の機能は復旧しており、ファーミング機能は新たに監査が行われた後、復旧される予定だ。
「タラ」は、アプトスネットワーク上で自動マーケットメーカー(AMM)及び利回りのあるステーブルコイン「ムーブダラー(MOD:Move Dollar)」を提供している。 なお「タラ」は11月14日、新たなDeFiプロトコル「タラスワップv2(ThalaSwap V2)」を発表している。ただし今回資金流出があったのは、v1のプロトコル。そのため、現在のところv2プロトコルには脆弱性が確認されたわけではない。
Important Announcement
— Thala (@ThalaLabs) November 16, 2024
On November 15th 2024, Thala suffered a security breach as a result of an isolated vulnerability in the latest update to v1 farming contracts, allowing the exploiter to withdraw liquidity pool tokens totaling $25.5m.
We immediately paused all relevant…
画像:PIXTA