DeFiの脆弱性が$6.7Mの攻撃を導いたが、監査人によって「検出されなかった」

「監査人が検出しなかったため、DeFiの脆弱性が$6.7Mの攻撃の引き金となった」

分散化された米ドル安定コインプロトコルであるRaftは、複数のセキュリティ監査にもかかわらず、先週670万ドルの損失を招いたセキュリティの脆弱性を経験したと主張しています。

プロジェクトの11月13日の事後報告書によれば、数日前、ハッカーは分散型金融プロトコルAaveで6,000のCoinbase-wrapped staked Ether (cbETH)を借用し、その合計額をRaftに移し、スマートコントラクトの不具合を利用して6,700万のRaftステーブルコイン、「R」と名付けられたものを発行しました。

不正に発行された資金は、分散型取引所BalancerとUniswapの流動性プールを介してプラットフォームからスワップされ、360万ドルの利益を上げました。攻撃後、Rステーブルコインはペッグから外れました。

報告書によると：

• 「歴史は、困難な着地を伴う強力な牛相場になると私たちに伝えてくれています」となります
• 「元FTX、Alamedaのエグゼクティブが新たな仮想通貨取引所を立ち上げる：WSJ」
• 台湾の仮想通貨取引所およびVASPメンバーであるBitginがマネーロンダリングの調査対象になっています

「主な根本的な原因は、シェアトークンを発行する際の精度計算の問題で、これにより、攻撃者は余分なシェアトークンを取得することができました。攻撃者は、増加したインデックス値を活用して自身のシェアの価値を増やしました。」

この事件中に悪用されたスマートコントラクトは、ブロックチェーンセキュリティ企業Trail of BitsとHats Financeによって監査されました。「残念ながら、この監査では、事件の原因となる脆弱性は検出されませんでした」とRaftの開発者は書いています。

プロジェクトは、11月10日の事件以降、警察への報告を行い、盗まれた資金の流れを追跡するために集中型取引所と協力していると述べています。現在、Raftのスマートコントラクトは一時停止されていますが、Rを発行したユーザーは「ポジションを返済し、担保を回収する能力を保持しています」。

分散型ステーブルコインは、ユーザーの仮想通貨預金を担保として発行されます。昨年12月、分散型ステーブルコインHAYは、正当な担保なしで1600万のHAYを発行するハッカーがスマートコントラクトの不具合を利用したため、米ドルとのペッグから外れました。HAYステーブルコインは、一部は再ペッギングされており、当時のリスク管理の一環として担保化比率が152％であることが要件となっていました。

We are aware of a potential security vulnerability.

We are currently investigating and will provide an update as soon as we can.

— Raft (@raft_fi) November 10, 2023

関連記事: 2023年における暗号通貨攻撃の最大月、9月に