DeFiプロジェクトのフラッシュローン攻撃による資金流出が相次ぐ、AkropolisやValue Protocolなどが攻撃を受け総額10億円以上が流出へ
アラタ | Shingo Arai

DeFiがクリプト市場のメインストリームになってから、数多くのDeFiプロジェクトがすごい勢いで市場に登場しています。
ユーザーが自由に自分たちが持っているアセットをDepositしたり、金利を得た後すぐに解除できる手軽さから多くのユーザーが現在では様々なDeFiプロダクトを使っています。
多くのユーザーがDeFiプロダクトを利用し、そのプロトコルに大量の資金がロックされ始めた結果、最近では多くのDeFiプロダクトにおいてフラッシュローンを用いた多額の資金流出が多発しています。
フラッシュローンとは
DeFiでは様々なジャンルのプロトコルが存在しています。その中で、ユーザーが担保をもとにアセットを借りることのできるレンディングが存在します。
しかし、このレンディングプロトコルでは通常ユーザーは担保価値に対して75%しかアセットや資金を借りることができません。
フラッシュローンでは、一つのトランザクション内で資金やアセットを借り、最終的に同額の資金やアセットを返せば、担保は不要ながらレンディングを行うことができるサービスです。
Aaveやdydx、bZxなどのサービスが2020年の頭くらいからフラッシュローンのサービス提供を行っています。
フラッシュローンは、コーディングを要するサービスでしたが現在ではノーコードのフラッシュローンサービスFurucomboなども市場には登場してきています。
Someone just used this combo to generate 15% return.
We breakdown the aftermath here:Cost: 1730USDC
Leverage 5.78x USDC vault to 10000USDCWhen USDC:DAI goes back to 1:1
Use flashloan to withdraw 10000USDC to payback 8000DAI debt.
Profit: 10000-8000-1730=270 USDC (15% ROI) https://t.co/rSs6jwlKeL pic.twitter.com/VTUrzULzvc
— FURUCOMBO (@furucombo) July 30, 2020
フラッシュローンによる相次ぐ資金流出
そんな多額な資金がロックされる多くのレンディングやアグリゲータープロダクトに対してのフラッシュローンによる攻撃で、資金流出が相次いでいます。
2020年11月10日(14:36 GMT)にはDeFiプロジェクトAkropolisがフラッシュローンによる攻撃の被害に遭い2億円以上相当の $DAI が流出しました。
Below is our official statement regarding the Delphi Savings Pool Exploit.
We are committed to transparency and keeping our users informed of how we are proceeding with the attack and reimbursement for those impacted by the exploit.
Thank you.https://t.co/i2peS4CSmn
— Akropolis (@akropolisio) November 12, 2020
Seems like Akropolis got hacked.
Hacker took $2M in DAI. Exploit involved its Curve savings pools. pic.twitter.com/dmd0xNhKwX
— Steven (@Dogetoshi) November 12, 2020
今回のAkropolisではCurveのyPoolにつながっていたアグリゲーターサービスがフラッシュローンの攻撃を受け、DAIが流出しました。
攻撃手法としては、dydxのフラッシュローンを利用し、CurveのPoolの価格の参考価格を下げたものとされています。
攻撃を行ったコントラクト0xe2307837524Db8961C4541f943598654240bd62f ではdYdXのフラッシュローンを利用しつつ、複数回これらの攻撃を行ったことが伺えます。
これらは1回の攻撃にいて0.8-1.2ETHのみのトランザクションフィーで行われており、トータル2億近いDAIが流出しています。
2020年11月15日にはValue DeFi ProtocolがフラッシュローンとフラッシュSwapの2種類の複合攻撃を受け、約7億円が資金流出しました。
The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.— Value DeFi (@value_defi) November 14, 2020
This is the complex exploit I've ever seen. It used 2 FLASHLOANS, one with @AaveAave (80k ETH) and one using flashswap with @UniswapProtocol (116M DAI).
In the image the steps! pic.twitter.com/nTm2SEgsur
— emiliano.oO ⚡️⛓️ (@emilianobonassi) November 14, 2020
Value DeFi Protocolは11月12日にツイートで、フラッシュローンにおける耐性を持っているとツイートしていました (該当ツイートは現在削除済み)が、今回のフラッシュローンでの攻撃者はDo you really know flashloan?(本当にフラッシュローンを知っているのか?) とTxでメッセージを残しています。
現在、Value DeFi Protocolではアタッカーに対して、Txでメッセージを送り、資金の返還の交渉を行っていることが見受けられますが、どうなるかは不明です。
現状のDeFiの課題
10月下旬にもDeFi アグリゲータープロトコルであるHarvest Financeがフラッシュローンを使って攻撃により、約34億の資金が流出し、Harvestにロックされていた資金は半分まで減少し、独自トークンFARMの価格も半分まで下落しました。
筆者もHarvest Financeに資金を入れていたため、資金総額から約15%ほどの被害を受けるにも至り、これらの問題はDeFiに触れるユーザーであれば身近に存在しています。
Harvest Finance,Value DeFi Protocol , Akropolisの3つに共通するのはどれも監査会社からのコード監査を受けたにもかかわらず、今回のフラッシュローンのような攻撃を受け、資金が流出してしまっていることです。
監査をされていないスマートコントラクトに流動性を提供して資金をロックすることは、管理者によるRugPull(資金を回収して逃げられること)のリスクがあると議論されていました。
DeFiサービスでも色々なLayerがあるけど
-Aggregator
-Oracle price feedはAMM DEXのリアルタイム
-参照価格をベースに資産価値の比重を変える様な条件が揃うとやられてる印象
Flashloanはピンポイントで瞬間的価格操作が出来てしまうし、価格変動が小さくとも大量の調達且つ繰り返しが可能なので
— shingen.eth (@shingen_crypto) November 16, 2020
しかし、現在起きているDeFiでの資金流出問題ではスマートコントラクトに関するバグではなく、市場の歪みを狙ったものが多くなっています。
これらの資金流出の際、プロダクトを提供するサプライヤーは補填金などでユーザーに対しての資金補填が満足にできないケースがほとんどです。
10月下旬に資金流出があったHarvestでは、対象ユーザーに売買可能なIOUトークンを作成し、FARMをDepositしてもらえる利益の一部をホルダーに還元する動きを見せていますが、補填金を賄うまでには多くの時間を要することが考えられます。
これらの問題を解決するために、DeFiプロダクトにおけるスマートコントラクトのバグに対しての保険金が支払われるNexus MutualやNsure Networkのようなプロジェクトも最近では登場してきてます。しかし、これらのプロダクトでは上述されているフラッシュローンによる資金流出の保証は対象外となっていたり、Nexus Mutualに至っては日本人は利用できないなど、まだまだ多くの課題を抱えています。

Nexus MutualのTotal Pool
更にいうと、DeFi市場にロックされている資金が右肩上がりなことに対して、保険金がカバーできるほどの金額(Nexus MutualのTotal Pool)が存在していないこと、更には保険金のカバーはガバナンスによって決定されるため、ハックされた際に資金が必ずしもカバーされるわけではないことが上げられます。

殆どのプロジェクトはDenied(否決)のステータス
現在でもDeFiのTVL(Total Value Locked)が右肩上がりを続け、DeFiは新たなプロダクトが今後も多くでてくることが容易に想像できます。
今後、DeFiが多くのユーザーに簡単に使われるようになるためにも、『スマートコントラクトのバグの定義』『現在のロック額に対してカバーしきれない保険』などこれらの課題は避けて通れない大きなものであると考えられます。
Flash-loanの実行者は果たしてハッカーなのか?
また、最後にAkrpolisに攻撃をした対象アドレスを参照するとAkrpolis Hackerと命名されているものの、フラッシュローンという市場で提供されているツールを使い、市場における価格の歪みをついただけなので正当なものであると筆者は考えています。
コードに不備があって無限にMintをしたり、トークンを流出させたわけではないのでAkropolis Hackerとフラグを付けていることは少々違和感を感じました。
市場にムーブメントを起こすDeFi市場ですが、まだまだ未成熟な部分も多いため、今後のさらなる成長を期待していきたいところです。