インバースファイナンスは今日、攻撃者がトルネードキャッシュを通して洗浄する前に1500万ドルの暗号を持ち逃げしたため、資金が流出した。
インバースファイナンスは、1500万ドル以上の損失をもたらすDeFiエクスプロイトの最新の犠牲者であることをPeckshieldが今週末に明らかにしました。ブロックチェーンセキュリティ会社は、Etherscan.
のトランザクションにリンクした「Hi, @InverseFinance, you may want to take a look」とだけ記載したツイートを公開しました。
トルネードキャッシュで暗号を洗浄する
。
過去数時間の間に、エクスプロイターは数百のイーサリアム取引をトルネードキャッシュに送信しました。Tornado Cashは、ハッカーやエクスプロイターの間で、取引履歴を難読化しようとする標準的なツールです。彼らは自分たちのサービスを「送信元アドレスと送信先アドレスのオンチェーンリンクを壊すことで、取引のプライバシーを向上させる」ツールだと説明しています。これは、異なるアドレスが引き出すことができるETHの預金を受け入れるスマートコントラクトを使用しています。”
ユーザーはランダムキーを生成し、ノートと一緒にETHを預ける。その後、ユーザーは別のウォレットからノートの鍵の証明を提供してETHを引き出すことで、”ノートを所持するユーザーのみが入金と出金をリンクできる “という取引連鎖を断ち切ります。
このエクスプロイトには、流動性の低いDeFiプロジェクトのガバナンストークンの価格を操作する必要があるTWAPオラクルが含まれていました。TWAPとはTime Weighted Average Priceの略で、「ERC20トークンのペアから、目的の区間の最初と最後の累積価格を読み取ることで構築されます。そして、この累積価格の差を間隔の長さで割ることで、その期間のTWAPを作成することができます。” エクスプロイトの詳細な説明は、ChainlinkコミュニティアンバサダーのChainLinkGod.
によって作成されたスレッドから入手可能です。
今日も一日、TWAPの神託操作
注意事項
1. TWAPのタイムサンプルは短すぎる
2. DEXの流動性はCEXの流動性よりかなり薄い
3. 攻撃者によって除去されたオンチェーンarbの機会
4. CEX-DEX arbは発生しなかった
5. 市場全体の価格はDEXの価格設定ほど影響を受けない https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
インバースファイナンスの対応について
インバースファイナンスは、本日夜、Twitter Spacesにて、今回のエクスプロイトの事象について語りました。その中で、すべての決定がDAOのオンチェーンガバナンスを経由していることを説明しています。このため、今回のような危機の際に迅速な意思決定が可能なのかどうか、疑問が呈されています。チームはTwitter Spaceの間、非常に冷静沈着な様子で、オラクル操作について非常に淡々と説明している。彼らは、エクスプロイダーが50万ドルの担保を使い、数分で1500万ドルを盗んだとして、「裁定取引の非効率性」を非難している。
DAOは現在、エクスプロイトの際に使用されたプロトコルによる今後の借り入れを防ぐため、アンカーにガーディアンルールを発動させました。これは、”将来的な同種の攻撃を軽減する “ことを目的としています。そして、その “ペグ保護 “によって、悪用された後の市場のペグとインセンティブを迅速に回復させることができると説明しています。Twitterスペースはさらに30分続き、インバースファイナンスの他の機能を説明し、プロジェクトへの信頼回復を訴えました。
エクスプロイトはハッキングではない
。
ここで重要なのは、一部で報道されているように、この行為の責任者はハッカーではないということです。現在多くの記事で、”DeFiがそんなに素晴らしいなら、なぜハッキングされ続けるのか?”という疑問が投げかけられています。その答えは、ほとんどのエクスプロイトがハッキングではないことです。今回の事件では、コードもセキュリティ権限もクラックされていません。その代わりに、ある個人が開発者の見落としを利用したのです。
DeFiには多くの可動部があり、それは5年も前のものです。このようなプロジェクトに対する興奮は、投資家が桁外れの利益を享受することを期待して、証明されていないプロジェクトに資金を預けることをいとわないほど高いものです。
インバースファイナンスのガバナンストークンであるINVは、通常、1日の平均出来高が約90万ドルで、時価総額は3100万ドルです。本日はエクスプロイトにより出来高が5000%増加しており、プロジェクトのTVLは現在約2700万ドルと報告されています。この数字は暗号の世界では低く見えますが、実際には、世界中のほとんどの人にとって人生を変えるような金額なのです。エクスプロイトの実行には50万ドルが必要で、「攻撃者」には2,900%の増加という結果になりました。
トルネードキャッシュで資金を洗浄することで、すべての取引が追跡可能であるというDeFiを支持する論拠は、かなり弱くなる。唯一の方法は、お金を追うことだと思う。エクスプロイターは、100、10、1の額面でETHを送った。したがって、この場合、それを追跡するには、予測可能な将来にわたってトルネード・キャッシュからこれらの金額の引き出しをすべて追跡する必要があるのです。実行不可能な作業だ。仮にそれが可能であったとしても、彼らは違法なことは何もしていない。利用規約に反している?その可能性は高い。倫理的にいかがなものか?確かに、しかし、ご存知の通り、DeFiの規制は発展途上の分野であり、今回の事件は、誰かがパブリックブロックチェーン上で完全に合法的な取引を行ったことで発生したものである。
DeFiは現在進行形です。Web3開発におけるより良い実践とテストの増加の必要性が高まっていることを浮き彫りにしています。DeFiの悪用が毎日のように報告されることで、国民の信頼が損なわれないことを願っています
。