約27億円相当の仮想通貨が盗まれる--UniswapとLendf.Meにサイバー攻撃

Catalin Cimpanu (CNET News) 翻訳校正: 編集部2020年04月20日 11時39分

 仮想通貨取引所のUniswapと貸付プラットフォームのLendf.Meから、ハッカーが2500万ドル(約27億円)以上に相当する仮想通貨を盗み出した。

仮想通貨のイメージ

 これらの攻撃は、それぞれ米国時間4月18日と19日に行われた。まだ調査中だが、2件の攻撃は関連していると考えられており、同じグループまたは個人が実行した可能性が非常に高い。

 捜査当局によると、ハッカーはさまざまなブロックチェーン技術のバグと正規の機能を組み合わせて、高度な「再入攻撃」(Reentrancy Attack)を組織したとみられるという。

 再入攻撃によりハッカーは、元の処理が承認または拒否される前に、資金の引き出しを繰り返し、連続的に実行することが可能になる。

 UniswapとLendf.Meの類似点は、どちらのプラットフォームも以下を利用していたことだ。

  • Lendf.Meプロトコル:dForce Foundationが開発したDecentralized Finance(DeFi:分散型金融)プロトコルで、イーサリアムプラットフォームでの貸付オペレーションを支援する。
  • imBTC:イーサリアムプラットフォーム上で実行されるトークン(コイン)で、仮想通貨ビットコインとの交換比率は1:1。
  • ERC-777:イーサリアムブロックチェーンの基盤技術の1つで、スマートコントラクトの支援を目的としている(Lendf.MeとimBTCはどちらも、イーサリアムプラットフォーム上のスマートコントラクトとして運用されている)。

 imBTCを発行しているTokenlonは、UniswapとLendf.Meへの攻撃を受けて19日にレポートを公開し、「われわれの知る限り、ERC-777トークン規格にセキュリティの脆弱性はない。ただし、ERC777トークンとUniswapまたはLendf.Meのコントラクトを組み合わせることで、(中略)再入攻撃が可能になる」とした。

 本稿執筆時点で、Uniswapは30万~110万ドル、Lendf.meは2450万ドル以上を失ったとみられている。

 ハッカーは、再入攻撃によって各プラットフォームの資金を自らのウォレットに吸い上げ、その直後に他のアカウントに送金していた。

 両ウェブサイトは、さらなる攻撃を防ぐため閉鎖されている。TokenlonはimBTCトークンを停止しており、全ての新規取引をブロックして、ハッカーがほかのプラットフォームに新たな攻撃を仕掛けられないようにしている。

dForce

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]