Quickswapのフラッシュローン攻撃はいかにして行われたか

こんにちは。壱拾参号です。

この記事はQuickSwapでフラッシュローン攻撃。$220k(約3,200万円)の被害の続報です。

ここ最近のクリプトの動向を振り返ると、10月はとんでもなくハッキングされたように感じます。調査会社Chainanalysisによると、2022年10月はクリプト史上、最もハッキングされた月となり、Mango Marketsハッキング事件や、Quickswap Lendingのハッキング事件が含まれます。総額数十億ドルが流出していたようです。

この記事ではQuickswap Lendingのハッキングがいかにして行われたのかを明らかにし、その詳細を分析していこうと思います。

事件の全貌

2022年10月24日、Polygonチェーン上のDEXであるQuickswapは、Quickswap LendingのMarketXYZ LendingからMATIC、LDO、stMATICを含む計22万ドルが不正に流出したことを明らかにしました。

ハッキングのトランザクション

ハッキング(エクスプロイト)にはフラッシュローンが用いられたようです。フラッシュローンについてはこちらをご覧ください。
秒速で借りて返す!フラッシュローンのユースケース

この事件に関してQuickswap自体のコントラクトに問題はありませんでしたが、QuickswapはQuickswap Lendingを閉鎖すると発表しました。

コード監査会社PickShieldの投稿によると、ハッカーはMarketXYZが使用していたCurve Oracleの脆弱性を利用して、Qi DAOが発行する米ステーブルコインであるMiMATICを不正に借り入れたようです。

その後ハッカーは、TornadoCashを用いて流出させた資金をミキシングしました。
ミキシングのトランザクション

また、Qi DAOは、今回の流出事件とMiMATICのスマートコントラクトは全く関係がないため、ユーザーの資金は流出しておらず、MiMATICは価格操作されていないと発表しました。

脆弱性は事前に指摘されていた

事件の2週間前である10月11日、コード監査会社であるChainSecurityは事件で悪用されたCurve Oracleの脆弱性についての技術的解説レポートを投稿していました。

レポートによると、ChainSecurityはCurve Oracleの脆弱性を発見し、Curve Oracleを使用しているプロジェクトへ通達を送っていたようです。それぞれのプロジェクトがオラクルをアップデートしたのちに、この技術レポートを公開していました。

しかし、実際にはMarketXYZはアップデートされていなかったため、それを悪用したハッカーが攻撃した模様です。

脆弱性の解説

では今回攻撃に用いられたCurve Oracleの脆弱性をChainSecurityのレポートを参考に解説していきたいと思います。

Curve Oracleについて

Curveは他のDeFiプロジェクトと同様に、プールに流動性を提供する代わりにLPトークンを得ます。LPトークンは流動性プ

ここから先は、会員限定のコンテンツになります。残り全てを見るには、サロン入会案内ページから会員登録をよろしくおねがいします。

関連記事