カーブ・ファイナンス　ハッキング関連の流動性プールで報酬配布を停止

　　Tom Blackstone

　　2023年08月03日 15:27

　　カーブ・ファイナンス ハッキング関連の流動性プールで報酬配布を停止

　　仮想通貨貸出プロトコルのカーブ・ファイナンスは、今年7月30日のカーブでの不正流出と7月6日のマルチチェーンでの不正流出により影響を受けた一部流動性プールに対するガバナンストークンの報酬を終了した。

　　報酬の終了は、カーブDAO運営組織の選抜メンバーで構成されるカーブ・エマージェンシー分散型自律組織（カーブE-DAO）によって実行された。この措置はalETH+ETH、msETH-ETH、pETH-ETH、crvCRVETH、Arbitrum Tricrypto、multibtc3CRVのプールに影響を及ぼしたと発表されている。今後、カーブDAOの全員投票により、この決定は変更される可能性があるという。この変更は、カーブE-DAOのメンバーであるガブリエル・シャピロ氏によって発表された。

　　7月6日、マルチチェーンプロトコルの一部である複数のブリッジから1億ドル相当の仮想通貨が引き出された。マルチチェーンチームは、これらの出金は「異常」であり、ユーザーはマルチチェーンの使用を停止すぐよう呼びかけた。当時、カーブチームはユーザーに対して「マルチチェーン資産（プールを含む）から退去するように」と警告し、自身のmultibtc3CRV流動性プールがマルチチェーンの事態によって危険にさらされている可能性を示唆した。

　　7月14日、マルチチェーンチームは、この出金がCEOのクラウドコンピューティングアカウントにアクセスできた人物によって引き起こされたと明らかにした。つまり、この出金が不正流出であり、二度と戻らない可能性があるということだ。

　　7月30日には、カーブ・ファイナンス自体がリエントランシー攻撃の被害を受けた。この攻撃により、4700万ドル相当の仮想通貨が失われた。攻撃はalETH、msETH、pETHプールに影響を与えた。原因はプログラム言語Vyperの脆弱性にあったとされている。Vyperを通じて作成されなかった他のカーブプールは影響を受けなかった。

　　これらの攻撃にもかかわらず、影響を受けたプールは依然としてカーブDAO（CRV）のガバナンストークン報酬を生み出していた。これは、ユーザーが自分のトークンをプールに預けてCRVを獲得できることを意味していた。発表によれば、シャピロ氏はエマージェンシーDAOが「これらの危険なプールへの参加が増えるのを避けるため」に、これらの報酬を削除したという。

　　投資家は7月と8月にハッキングや詐欺から続けて損失を被っている。決済プロバイダーのAlphapoは7月23日に、攻撃者がホットウォレットの秘密鍵にアクセスした結果、6000万ドル以上を失ったとされている。同社はこの攻撃を認めていないが、オンチェーンの仮想通貨ウォッチャーたちは、これらの送金は異常であり、おそらくハッキングの結果であると主張している。7月25日には、zkSync上のレンディングアプリのエラ・ランドでも「リードオンリー・リエントランシー攻撃」により340万ドルの被害が発生した