ハッカーがEthereumの流動性プロバイダーTrustedVolumesから590万ドルを流出

イーサリアムブロックチェーン上の流動性の提供者であるTrustedVolumesは、木曜日にハッカーによって約590万ドルの資金を失った。

攻撃者はプラットフォームが使用するカスタム取引システムの脆弱性を悪用し、ETH、WBTCのほか、USDTおよびUSDCステーブルコインを含む資金の引き出しに成功した。

何が起きたのか

ブロックチェーンセキュリティ企業のBlockaidは、エクスプロイトが発生している最中にそれを検知し、盗まれた資金には1,291 WETH、約16.9 WBTC、約206,000 USDT、および127万USDCをわずかに下回る額が含まれていたと報告している。

この攻撃は、TrustedVolumesのカスタム注文決済システムである「Request for Quote（RFQ）プロキシ」の設計上の欠陥を悪用することで成立した。

GoPlus Securityが公開した分析によると、攻撃者は「registerAllowedOrderSigner()」と呼ばれる誰でもアクセス可能な関数を使用し、自身を認可された「注文署名者」として登録した。

この関数は、誰でも自分のアドレスを自分が管理するトレードの有効な署名者として指定できるものであり、通常であれば無害だが、決済関数には別の問題があった。それは、あるアドレスに対して認可を確認しながら、実際には別のアドレスから資金を引き出すというものだった。

セキュリティ研究者Defi Nerdが公開した技術レポートで詳述されているように、攻撃者はその隙を利用して、TrustedVolumesのリゾルバーコントラクトに対して4回の資金流出トランザクションを実行した。このコントラクトは以前にプロキシに対してトークンの移動を許可していた。

同レポートによると、毎回プロキシはリゾルバーから資産を引き出し、わずか1単位の生のUSDCのみを返送した。その後、攻撃者は盗んだWETHをETHに変換し、すべてを自分のウォレットに転送した。

TrustedVolumesはエクスプロイトを確認し、盗まれた資金を保有する3つのウォレットアドレスを公開し、「バグバウンティおよび相互に受け入れ可能な解決策」についてハッカーに連絡を取るよう求めた。

DeFiハッキングが続く中、1inchは距離を置く

TrustedVolumesは1inch上で流動性の提供者およびマーケットメーカーとして機能しているため、一部の初期報道ではこの事件を1inchのエクスプロイトとして報じた。

しかし、それは正確ではなく、1inchとBlockaidの両者はプロトコル自体は侵害されておらず、1inch上のユーザー資金は一切影響を受けていないと声明を発表して明確にした。TrustedVolumesは1inchだけでなく、複数のプラットフォームにわたって独立して運営されている。

この攻撃は、DeFiエコシステムにとって特に困難な時期に発生した。4月には6億5,000万ドル以上の暗号資産がさまざまなプロジェクトから盗まれるという壊滅的な月が続いていたためだ。

KelpDAOとDrift Protocolが最も大きな被害を受け、それぞれ2億9,200万ドルと2億8,520万ドルが奪われた。

そのため、590万ドルという今回の最新エクスプロイトは規模としては小さい。しかし、ヘルパーコントラクトの展開、セルフサービスによる署名者登録の悪用、そして単一トランザクション内でのマーカー/資金源の不一致の悪用という手法の技術的な洗練度は、単純なバグや設定ミスとは異なるカテゴリに位置付けられる。

The post Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes appeared first on CryptoPotato.