約27億円相当の仮想通貨が盗まれる--UniswapとLendf.Meにサイバー攻撃

　仮想通貨取引所のUniswapと貸付プラットフォームのLendf.Meから、ハッカーが2500万ドル（約27億円）以上に相当する仮想通貨を盗み出した。

　これらの攻撃は、それぞれ米国時間4月18日と19日に行われた。まだ調査中だが、2件の攻撃は関連していると考えられており、同じグループまたは個人が実行した可能性が非常に高い。

　捜査当局によると、ハッカーはさまざまなブロックチェーン技術のバグと正規の機能を組み合わせて、高度な「再入攻撃」（Reentrancy Attack）を組織したとみられるという。

　再入攻撃によりハッカーは、元の処理が承認または拒否される前に、資金の引き出しを繰り返し、連続的に実行することが可能になる。

　UniswapとLendf.Meの類似点は、どちらのプラットフォームも以下を利用していたことだ。

• Lendf.Meプロトコル：dForce Foundationが開発したDecentralized Finance（DeFi：分散型金融）プロトコルで、イーサリアムプラットフォームでの貸付オペレーションを支援する。
• imBTC：イーサリアムプラットフォーム上で実行されるトークン（コイン）で、仮想通貨ビットコインとの交換比率は1：1。
• ERC-777：イーサリアムブロックチェーンの基盤技術の1つで、スマートコントラクトの支援を目的としている（Lendf.MeとimBTCはどちらも、イーサリアムプラットフォーム上のスマートコントラクトとして運用されている）。

　imBTCを発行しているTokenlonは、UniswapとLendf.Meへの攻撃を受けて19日にレポートを公開し、「われわれの知る限り、ERC-777トークン規格にセキュリティの脆弱性はない。ただし、ERC777トークンとUniswapまたはLendf.Meのコントラクトを組み合わせることで、（中略）再入攻撃が可能になる」とした。

　本稿執筆時点で、Uniswapは30万～110万ドル、Lendf.meは2450万ドル以上を失ったとみられている。

　ハッカーは、再入攻撃によって各プラットフォームの資金を自らのウォレットに吸い上げ、その直後に他のアカウントに送金していた。

　両ウェブサイトは、さらなる攻撃を防ぐため閉鎖されている。TokenlonはimBTCトークンを停止しており、全ての新規取引をブロックして、ハッカーがほかのプラットフォームに新たな攻撃を仕掛けられないようにしている。