攻撃者が廃止済のThetanuts Financeのボールトから約210万ドルを流出させるDeFi(分散型金融)ハッキングが発生した。ホワイトハットの防御者が約200万ドル相当のオプショントークンを回収した。
今回の侵害は、同プロトコルが数年前に移行を完了していた旧ボールトが標的となった。Thetanutsは、このボールトは現行プロダクトやシステムに一切関係がないと説明している。
ThetanutsボールトにおけるDeFi流出の内幕
ブロックチェーンセキュリティ企業がSNS「X」(旧Twitter)上で本件を報告した。SlowMistは本件の原因がコントラクトのミント関数における整数除算の欠陥であると特定した。
ボールト資金の流出後、整数除算による丸め込みの影響で預入れの計算式が0となり、攻撃者が無料でトークンをミントできた。この不具合により無制限にトークンが生成可能となった。
PeckShieldは、攻撃者がUSDC約10万5000ドル分を約60イーサリアム(ETH)と交換したことを明らかにした。ウォレットには今なお約3万4000ドル分のオプショントークンが残存している。
Thetanutsも今回の流出について公開声明を発表した。
「予備調査の結果、今回の流出も数年前に移行済となっていた廃止ボールトが標的となったと判断している。現在のコントラクトやプロダクトとは一切関係がない。詳細判明次第、改めて報告する予定だ」とチームはコメントしている。
この種の攻撃は、長らく放置されたコードやレガシー(旧型)コントラクトが標的となるパターンと一致する。古いコントラクトは、開発チームの運用終了後もチェーン上で稼働し続けることが多い。
BeInCryptoは、廃止済のAztec Connectから約210万ドルが流出した事例も報じている。別件では、Raydium(RAY)の旧型流動性プールが約130万ドル分流出した。
専門家や記者が解説するインサイトはYouTube公式チャンネルを登録
