先月2億ドルの損失をもたらしたハッキングの後、バランサーは再び攻撃を受け、今回はプロトコルのフロントエンドが攻撃された。どのような対策を取るべきか
The DeFi Balancer protocol suffers a frontend hack
ほんの1ヶ月前、分散型金融(DeFi)バランサー(BAL)プロトコルは2億ドルの大規模なハッキングに見舞われ、アプリケーション上でロックされた総価値(TVL)の約20%が失われました。
今日、Balanceは新たな攻撃に直面しており、今回はプロトコルのフロントエンドに影響を及ぼしている。その結果、プロジェクトチームは追って通知があるまでウェブサイトを使用しないよう呼びかけている。
バランサーのフロントエンドが攻撃を受けています。この問題は現在調査中です。
-バランサー(@Balancer) 2023年9月19日
追って通知があるまでバランサーのUIを操作しないでください。
スマートコントラクトに対するハッキングとは異なり、フロントエンドの攻撃はより狡猾な方法で行われる。最初のタイプの攻撃は、アプリケーションのソースコードの欠陥を悪用して、そこに入金された現金を流用しようとする。一方、フロントエンド攻撃は、ユーザー・インターフェースを標的とする。
そこから、いくつかの可能性が想定される。特にドメインネームシステム(DNS)プロバイダーを攻撃して、正規のスマートコントラクトを悪意のあるコードに置き換えることで、被害者に不正なスマートコントラクトを承認させようとする可能性がある。
損失額はまだ不明
記事執筆時点では、この攻撃の結果はまだ明らかになっていないが、今回の攻撃は先月のものよりはるかに慎重なようだ。
ブロックチェーンセキュリティ会社のPeckShieldによると、少なくとも23万8000ドル相当が盗まれた。
@Balancerはフロントエンドが攻撃を受け、~238kドル相当の暗号が盗まれたと報告しているhttps://t. co/aaj0Xqerypic.twitter.com/YDIjfnNYM4
– PeckShieldAlert (@PeckShieldAlert) 2023年9月20日
さらに、盗まれたETHの一部はAVAXと交換され、MEXC暗号通貨取引所の入金アドレスに送られた。
バランサー上であれ他の場所であれ、不正なスマートコントラクトを承認した可能性があると思われる人々にとって、資金流出につながる可能性がある前に、これらの承認を迅速に削除することが重要です。そのためには、revoke.cashのようなツールや、EtherscanやPolygonscanのようなブロックチェーン・エクスプローラーの「トークン承認」セクションを使用することができます。
前月のハッキングに加え、バランサーは年初にも別の問題を警告し、プールから特定の流動性を引き出すようユーザーに呼びかけていた。
BALトークンは本稿執筆時点で1.3%下落し、1つ3.29ドルだった。前回の強気相場での史上最高値以来、資産の価格は95%以上切り下げられた。
