こんにちは。壱拾参号です。
この記事はQuickSwapでフラッシュローン攻撃。$220k(約3,200万円)の被害の続報です。
ここ最近のクリプトの動向を振り返ると、10月はとんでもなくハッキングされたように感じます。調査会社Chainanalysisによると、2022年10月はクリプト史上、最もハッキングされた月となり、Mango Marketsハッキング事件や、Quickswap Lendingのハッキング事件が含まれます。総額数十億ドルが流出していたようです。
この記事ではQuickswap Lendingのハッキングがいかにして行われたのかを明らかにし、その詳細を分析していこうと思います。
事件の全貌
2022年10月24日、Polygonチェーン上のDEXであるQuickswapは、Quickswap LendingのMarketXYZ LendingからMATIC、LDO、stMATICを含む計22万ドルが不正に流出したことを明らかにしました。
ハッキングのトランザクション
ハッキング(エクスプロイト)にはフラッシュローンが用いられたようです。フラッシュローンについてはこちらをご覧ください。
秒速で借りて返す!フラッシュローンのユースケース
この事件に関してQuickswap自体のコントラクトに問題はありませんでしたが、QuickswapはQuickswap Lendingを閉鎖すると発表しました。
⚠️QuickSwap Lend is closing⚠️
🔗$220k was exploited in a flash loans attack due to a vulnerability with the Curve Oracle, which @marketxyz was using
☣ Only the Market XYZ lending market was compromised. QuickSwap's contracts are unaffected
🪡🧵👇1/3 pic.twitter.com/oWNz7BAujT
— QuickSwap (@QuickswapDEX) October 24, 2022
コード監査会社PickShieldの投稿によると、ハッカーはMarketXYZが使用していたCurve Oracleの脆弱性を利用して、Qi DAOが発行する米ステーブルコインであるMiMATICを不正に借り入れたようです。
その後ハッカーは、TornadoCashを用いて流出させた資金をミキシングしました。
ミキシングのトランザクション
また、Qi DAOは、今回の流出事件とMiMATICのスマートコントラクトは全く関係がないため、ユーザーの資金は流出しておらず、MiMATICは価格操作されていないと発表しました。
脆弱性は事前に指摘されていた
事件の2週間前である10月11日、コード監査会社であるChainSecurityは事件で悪用されたCurve Oracleの脆弱性についての技術的解説レポートを投稿していました。
レポートによると、ChainSecurityはCurve Oracleの脆弱性を発見し、Curve Oracleを使用しているプロジェクトへ通達を送っていたようです。それぞれのプロジェクトがオラクルをアップデートしたのちに、この技術レポートを公開していました。
しかし、実際にはMarketXYZはアップデートされていなかったため、それを悪用したハッカーが攻撃した模様です。
脆弱性の解説
では今回攻撃に用いられたCurve Oracleの脆弱性をChainSecurityのレポートを参考に解説していきたいと思います。
Curve Oracleについて
Curveは他のDeFiプロジェクトと同様に、プールに流動性を提供する代わりにLPトークンを得ます。LPトークンは流動性プ
ここから先は、会員限定のコンテンツになります。残り全てを見るには、サロン入会案内ページから会員登録をよろしくおねがいします。