DeFiプロジェクトのフラッシュローン攻撃による資金流出が相次ぐ、AkropolisやValue Protocolなどが攻撃を受け総額10億円以上が流出へ

DeFiプロジェクトのフラッシュローン攻撃による資金流出が相次ぐ、AkropolisやValue Protocolなどが攻撃を受け総額10億円以上が流出へ
ct analysis

DeFiがクリプト市場のメインストリームになってから、数多くのDeFiプロジェクトがすごい勢いで市場に登場しています。

ユーザーが自由に自分たちが持っているアセットをDepositしたり、金利を得た後すぐに解除できる手軽さから多くのユーザーが現在では様々なDeFiプロダクトを使っています。

多くのユーザーがDeFiプロダクトを利用し、そのプロトコルに大量の資金がロックされ始めた結果、最近では多くのDeFiプロダクトにおいてフラッシュローンを用いた多額の資金流出が多発しています。

フラッシュローンとは

DeFiでは様々なジャンルのプロトコルが存在しています。その中で、ユーザーが担保をもとにアセットを借りることのできるレンディングが存在します。

しかし、このレンディングプロトコルでは通常ユーザーは担保価値に対して75%しかアセットや資金を借りることができません。

フラッシュローンでは、一つのトランザクション内で資金やアセットを借り、最終的に同額の資金やアセットを返せば、担保は不要ながらレンディングを行うことができるサービスです。

Aaveやdydx、bZxなどのサービスが2020年の頭くらいからフラッシュローンのサービス提供を行っています。

フラッシュローンは、コーディングを要するサービスでしたが現在ではノーコードのフラッシュローンサービスFurucomboなども市場には登場してきています。

フラッシュローンによる相次ぐ資金流出

そんな多額な資金がロックされる多くのレンディングやアグリゲータープロダクトに対してのフラッシュローンによる攻撃で、資金流出が相次いでいます。

2020年11月10日(14:36 GMT)にはDeFiプロジェクトAkropolisがフラッシュローンによる攻撃の被害に遭い2億円以上相当の $DAI が流出しました。

今回のAkropolisではCurveのyPoolにつながっていたアグリゲーターサービスがフラッシュローンの攻撃を受け、DAIが流出しました。

攻撃手法としては、dydxのフラッシュローンを利用し、CurveのPoolの価格の参考価格を下げたものとされています。

攻撃を行ったコントラクト0xe2307837524Db8961C4541f943598654240bd62f ではdYdXのフラッシュローンを利用しつつ、複数回これらの攻撃を行ったことが伺えます。

これらは1回の攻撃にいて0.8-1.2ETHのみのトランザクションフィーで行われており、トータル2億近いDAIが流出しています。

2020年11月15日にはValue DeFi ProtocolがフラッシュローンとフラッシュSwapの2種類の複合攻撃を受け、約7億円が資金流出しました。

Value DeFi Protocolは11月12日にツイートで、フラッシュローンにおける耐性を持っているとツイートしていました (該当ツイートは現在削除済み)が、今回のフラッシュローンでの攻撃者はDo you really know flashloan?(本当にフラッシュローンを知っているのか?) とTxでメッセージを残しています。

Value DeFi Protocol のFlash-loanに言及するツイート(現在は削除済み)

現在、Value DeFi Protocolではアタッカーに対して、Txでメッセージを送り、資金の返還の交渉を行っていることが見受けられますが、どうなるかは不明です。

現状のDeFiの課題

10月下旬にもDeFi アグリゲータープロトコルであるHarvest Financeがフラッシュローンを使って攻撃により、約34億の資金が流出し、Harvestにロックされていた資金は半分まで減少し、独自トークンFARMの価格も半分まで下落しました。

筆者もHarvest Financeに資金を入れていたため、資金総額から約15%ほどの被害を受けるにも至り、これらの問題はDeFiに触れるユーザーであれば身近に存在しています。

Harvest Finance,Value DeFi Protocol , Akropolisの3つに共通するのはどれも監査会社からのコード監査を受けたにもかかわらず、今回のフラッシュローンのような攻撃を受け、資金が流出してしまっていることです。

監査をされていないスマートコントラクトに流動性を提供して資金をロックすることは、管理者によるRugPull(資金を回収して逃げられること)のリスクがあると議論されていました。

しかし、現在起きているDeFiでの資金流出問題ではスマートコントラクトに関するバグではなく、市場の歪みを狙ったものが多くなっています。

これらの資金流出の際、プロダクトを提供するサプライヤーは補填金などでユーザーに対しての資金補填が満足にできないケースがほとんどです。

10月下旬に資金流出があったHarvestでは、対象ユーザーに売買可能なIOUトークンを作成し、FARMをDepositしてもらえる利益の一部をホルダーに還元する動きを見せていますが、補填金を賄うまでには多くの時間を要することが考えられます。

これらの問題を解決するために、DeFiプロダクトにおけるスマートコントラクトのバグに対しての保険金が支払われるNexus MutualやNsure Networkのようなプロジェクトも最近では登場してきてます。しかし、これらのプロダクトでは上述されているフラッシュローンによる資金流出の保証は対象外となっていたり、Nexus Mutualに至っては日本人は利用できないなど、まだまだ多くの課題を抱えています。

Nexus MutualのTotal Pool

更にいうと、DeFi市場にロックされている資金が右肩上がりなことに対して、保険金がカバーできるほどの金額(Nexus MutualのTotal Pool)が存在していないこと、更には保険金のカバーはガバナンスによって決定されるため、ハックされた際に資金が必ずしもカバーされるわけではないことが上げられます。

殆どのプロジェクトはDenied(否決)のステータス

現在でもDeFiのTVL(Total Value Locked)が右肩上がりを続け、DeFiは新たなプロダクトが今後も多くでてくることが容易に想像できます。

今後、DeFiが多くのユーザーに簡単に使われるようになるためにも、『スマートコントラクトのバグの定義』『現在のロック額に対してカバーしきれない保険』などこれらの課題は避けて通れない大きなものであると考えられます。

Flash-loanの実行者は果たしてハッカーなのか?

また、最後にAkrpolisに攻撃をした対象アドレスを参照するとAkrpolis Hackerと命名されているものの、フラッシュローンという市場で提供されているツールを使い、市場における価格の歪みをついただけなので正当なものであると筆者は考えています。

コードに不備があって無限にMintをしたり、トークンを流出させたわけではないのでAkropolis Hackerとフラグを付けていることは少々違和感を感じました。

市場にムーブメントを起こすDeFi市場ですが、まだまだ未成熟な部分も多いため、今後のさらなる成長を期待していきたいところです。

ニュース/解説記事

Enable Notifications OK No thanks