DeFiプロトコルのアルカディア・ファイナンス　約6400万円の不正流出発生 ｜ 開発チームは攻撃者に資金返還求める

　　Tom Blackstone

　　2023年07月11日 12:55

　　DeFiプロトコルのアルカディア・ファイナンス 約6400万円の不正流出発生 ｜ 開発チームは攻撃者に資金返還求める

　　アルカディア・ファイナンスの開発チームが発表した7月10日の事後報告によれば、攻撃者はリエントランシー攻撃を利用して分散型金融（DeFi）プロトコルから45万5000ドル（約6400万円）を奪った。リエントランシー攻撃とは、攻撃者が複数ステップのプロセス中にコントラクトを「再入力」したり、それを中断したりすることで、プロセスが正しく完了できないようにするバグをもたらす。チームは、攻撃者に対して24時間以内に資金を返還するよう要求し、応じなければ警察に通報すると警告した。

　　7月10日の朝、アルカディア・ファイナンスは45万5000ドル相当の仮想通貨を奪われた。ブロックチェーンセキュリティ企業ペックシールドの報告によれば、攻撃者はアプリのコントラクト内での「信頼性のない入力検証の欠如」を利用して資金を引き出したとされる。これに対し、アルカディアチームはペックシールドの分析は誤っていると否定。しかし、当時彼らが何が原因だと考えていたのかについては説明しなかった。

　　新たなアルカディアの報告では、アプリの“liquidateVault()”関数に再入力チェックが含まれていなかったと指摘されている。これにより、攻撃者はヘルスチェックが完了する前に、資金を引き出した後でも関数を呼び出すことが可能となっていた。結果として、攻撃者は資金を借りても返済せず、プロトコルから資金を流出させることができた。現在、チームはコントラクトを一時停止し、抜け穴を塞ぐためのパッチを作成中だ。

　　攻撃者はまず、Aave から20,672ドル相当のUSDコイン（USDC）をフラッシュローンとして引き出し、それをアルカディアのVaultに預けた。次に、このVaultの担保を使って、アルカディアの流動性プールから10万3210ドルのUSDCを借りた。これは、ブロックの終わりまでに自分のアカウントが健全な状態を維持できる場合にのみ資金を借りることを可能にする“doActionWithLeverage()”関数で実現された。攻撃者は10万3210ドルをVaultに預け、合計資金を12万3882ドルに増やした。その後、全資金を引き出し、Vaultには資産がなく、10万3,210ドルの負債が残った。

　　理論的には、資金を引き出すことでアカウントがヘルスチェックに失敗し、すべてのアクションが元に戻るはずだった。しかし、攻撃者は悪意のあるコントラクトを使用して、ヘルスチェックが開始される前にliquidateVault()を呼び出した。Vaultは清算され、すべての負債がなくなった。結果として、Vaultには資産も負債もなく、ヘルスチェックを通過できる状態となった。

　　全ての取引が終了した後にアカウントがヘルスチェックを通過したため、どの取引も元に戻らず、プールから10万3210ドルが引き出された。攻撃者は同一ブロック内でAaveへのローンを返済した。攻撃者はこの手口を何度も繰り返し、オプティミズムとイーサリアムのプールから合計で45万5000ドルを引き出した。

　　アルカディアのチームは、攻撃が信頼性のない入力によるものだという主張に対して反論し、この主張された脆弱性は攻撃における「主要な問題」ではなかったとした。

　　アルカディアのチームは、オプティミズムの取引の入力データフィールドを使って攻撃者にメッセージを送り、「あなたがアルカディア・ファイナンスの不正流出に関与していることはわかっている。私たちはセキュリティ専門家や法執行機関と積極的に協力している。あなたのTCの入出金はBNB上で少し速すぎた。現在ではオンラインで自分の身元を隠すのは困難となっている。24時間以内に資金が返還されない場合、これを法執行機関に通報することになる」と述べた。

　　アルカディアは報告で、攻撃者を特定するための有望な手がかりを見つけたと主張している。「中央集権型取引所にリンクしたアドレスを取得するだけでなく、他のプロトコルの過去の不正流出に対するリンクも明らかになった」とチームは語った。「チームはオンチェーンとオフチェーンのデータを最大限に調査し、複数の手がかりを持っている」という。

　　2023年のDeFi空間では不正流出と詐欺が続いている。セルティックの7月5日の報告によれば、今年の第2四半期にはハッキングと不正流出により3億ドル以上が失われた。