ユーザーがマウス操作で簡単に複数の分散型金融(DeFi)プロトコルにおける取引を組み立てることができるツールFurucombo(フルコンボ)が、ハッキング攻撃により約1400万ドル(約15億円)を失ったと発表した。
Furucomboは2020年3月にスタートしたサービスで、これまでに海外仮想通貨取引所大手バイナンスや、米仮想通貨ファンドのマルチコインキャピタル、またAaveの創始者スタニ・クレチョフ氏などから資金調達している。名称通り、様々なDEFIプロトコルのコンビネーション(コンボ)をキューブのように可視化した上で、レゴを組み立てるように最適な仮想通貨資金運用戦略をつくるツールだ。
現在ハッカーは奪ったETHやERC20トークンをウォレットに送金した後、取引の匿名性を高めるプライバシーミキサーのトルネードキャッシュ(Tornado Cash)を通して資金洗浄を図っている模様だ。
今回のハッキング事件は昨年Pickle Financeを襲った2000万ドルの「邪悪な壺(Evil Jar)」攻撃や、今月初めにAlpha Financeを襲った3700万ドルの「邪悪な呪文(Evil Spell)」攻撃と概念的に似ている。これらのいわゆる「邪悪なコントラクト(Evil Contract)」攻撃においてハッカーはプロトコルを騙すスマートコントラクトを作成し、資金にアクセスする。
米仮想通貨メディア「ザ・ブロック」のリサーチャーであるイゴール・イガムバーディエフ氏は「今回ハッカーはフルコンボに分散型金融プラットフォームAave(アーヴェ) v2が新しい実装を持っていると信じ込ませた。その結果アーヴェv2との相互作用において承認されたトークンを任意のアドレスに転送することができた」とツイッターでコメントしている。
この種のハッキング手法は最近人気が高まっているようで、これまでのわずか数カ月で7000万ドル(約75億円)以上のユーザー資金が同様の手口で盗まれている。
今回の攻撃をうけFurucomboは公式ツイッターでセキュリティは復旧済みとしているが、念のため「承認」した取引を取り消すことを推奨している。また、影響を受けたユーザーに対し資金補填も計画しているとのべている。
これまでウォレット等をFurucomboのプロトコルと相互作用させたことのある人はRevokeを使って出金承認を取消しておくのが良いだろう。
今回のハッキング事件は分散型金融の分野でコード監査の大切さが叫ばれているタイミングで発生した。過去3ヶ月の間に3つの異なる監査およびコードレビューサービスが登場している。