ハンドレッド・ファイナンスから700万ドル流出　オプティミズム上でフラッシュローン攻撃

　　Ana Paula Pereira

　　2023年04月17日 07:47

　　ハンドレッド・ファイナンスから700万ドル流出 オプティミズム上でフラッシュローン攻撃

　　イーサリアムのレイヤー2ブロックチェーンであるオプティミズム上で、マルチチェーン・レンディングプロトコルのハンドレッド・ファイナンス（Hundred Finance）が4月15日、740万ドル（約9億9000万円）の損失を被る大規模なセキュリティ侵害に遭遇した。

　　ハンドレッド・ファイナンスはさまざまなセキュリティチームと連携して対応していると述べた。攻撃方法については明らかにされていないが、ブロックチェーンセキュリティ企業のCertikによると、フラッシュローン攻撃だったとのことだ。

　　フラッシュローン攻撃は、ハッカーがレンディングプロトコルからフラッシュローン（担保なしの融資）として大量の資金を借り入れ、その資金を使って分散型金融（DeFi）プラットフォーム上の資産価格を操作するもの。ハンドレッド・ファイナンスの事件では、攻撃者がERC-20トークンとhTOKENSとの為替レートを操作し、元の預け入れ額よりも多くのトークンを引き出すことができたとCertikは説明している。同社はさらに次のように続けている。

　　「為替レートの計算式は、Cashという値を通じて操作された。Cashは、hBTCコントラクトが持っているWBTCの量だ。攻撃者は、大量のWBTCをhTokenコントラクトに寄付することで、為替レートを上げることに成功した。」

　　操作された為替レートで大量の融資が引き出されたとCertikは述べ、ハンドレッド・ファイナンスは事件についての詳細報告を準備している。

　　この攻撃は、昨年Gnosis Chainでハンドレッド・ファイナンスが別の攻撃にさらされてからほぼ12ヶ月後に発生したものだ。当時、ハッカーはリエントリ攻撃を使ってプロトコルの流動性をすべて奪い、600万ドル以上が失われた。同じ攻撃で、ハッカーはAgaveプロトコルからも資金を盗んだ。

　　昨年以降、フラッシュローン攻撃を利用した犯罪者がDeFiプロトコルを標的にしている。最近の事例では、オイラー・ファイナンス（1億9600万ドル）やマンゴー・マーケッツ（4600万ドル）が攻撃を受けた。オイラー・ファイナンスのハッキングでは大半の資金が返還されたものの、マンゴー・マーケッツの窃盗犯は米国当局に逮捕された。