こんにちは！弐号です。

Avalancheチェーン上で展開するステーブルスワップ（価格が同程度のトークン同士のスワップに特化したもの）プロトコルの「Platypus」がハッキング被害にあい、$8M（約10億円）が盗まれてしまいました。

元ネタ

ハッキングはTwitterにて以下のように報告されました。

https://twitter.com/spreekaway/status/1626319585040338953

Platypusは2月8日に $USP というステーブルコインをローンチしたばかりですが、今回はこの変更に対する脆弱性をつかれてしまったのではないかと言われています。

USP

$USP は Platypus のドルステーブルコインのレンディングプールに預け入れたトークンを担保として発行できるステーブルコインで、Platypus プラットフォームでステーキングをすることで、元々の預け入れトークンの利回りに上乗せする形で報酬がもらえる、という形でローンチしました。

筆者もローンチ直後に試したのですが、リスクが高いと判断したため、すぐに出金しています。

今回の問題はハッキングが原因であり、上記のTweetとは少し方向性が違いますが、結果的にはリスク回避することができてよかったです。

準備金率

攻撃を受け、Platypus のドルステーブルのプールの流動性 (準備金率; Coverage Ratio) が 35% まで抜かれてしまっています。

Platypus のドキュメントによると準備金率が 30% を下回ると出金時に手数料で 100% が取られてしまいますので、これが実質的な準備金率の下限となっており、この下限ギリギリまで流動性が抜かれてしまっています。

USP価格

ステーブルコインである $USP の価格も、本来の1ドルを外れて0.478ドルと大きく下方向にデペグしてしまっています。

今回は新機能 (USP) の実装にバグがあり盗られてしまったということでしたが、やはり新しくでたばかりの機能が実装されたプラットフォームはどうしてもスマートコントラクトリスクが避けられません（監査とかはしてるのでしょうけれど……）ので、運営元の開発力が十分にあるか、またいくら優秀なエンジニアでもバグのないコードを書くことは非常に難しいですので、新しいDeFiや新機能が追加されたばかりのプロトコルは避ける、などの対策が必要でしょう。

ではでは！

追記

2023/02/25 21:30

Platypus 公式より、ハッキングを行ったと思われる犯人がフランス当局に拘束された模様です。

https://twitter.com/Platypusdefi/status/1629448306186412033

これにより、プラットフォーム利用者への補填が迅速に行われることを願います。