ads
bc-game

Summer Financeへの攻撃で、DeFiプロトコルの失敗によりUS$ 6 millonesが流出

1 分で読めます
PortalCripto
Summer Financeへの攻撃で、DeFiプロトコルの失敗によりUS$ 6 millonesが流出
提供元: Sora Shimazaki/Pexels — Summer Financeへの攻撃で、DeFiプロトコルの失敗によりUS$ 6 millonesが流出
広告

プロトコル Summer Finance (Summer.fi) は攻撃を受け、その結果約 US$ 6 millones を失った。これにより、DeFi分野が直面しているセキュリティ上の課題に再びスポットライトが当たることになった。オンチェーン分析の専門企業が、この悪用を特定しており、プロトコルの金庫内の資産の会計処理に関連する脆弱性の兆候があったと指摘している。

初期の警告は月曜日の午前中にブロックチェーン・セキュリティ専門家によって発表された。その少し後に、他の企業が資金の動きを分析し、攻撃の時系列を再構築したところ、侵入者がユーザーの保有分(participations)の計算に関する不具合を悪用できたことが示された。

分析によれば、迂回された資金はすぐに DAI に換えられ、その後攻撃者が管理するアドレスへ送信された。動きが注目を集めたのは、分散型金融プロトコルへの攻撃でよく用いられる手法、つまり不正な利益を得るために、価格と内部残高を一時的に操作した点にある。

セキュリティ企業のCertiKは、侵入者が フラッシュローン で約 US$ 65,4 milhões を調達して作戦を実行したと述べた。この戦略により、攻撃者は約 US$ 70,9 milhões の払い戻し(resgate)を行うことができ、プロトコルの Lazy Summer が金庫内に存在する資産を記録する方法における不具合を活用した。

Summer.fiのシステムは、ユーザーの預金を複数の貸付プラットフォームに自動的に振り分けるために人工知能を利用しており、より高い収益を目指している。このプロセスは、スマートコントラクト上で資産が正しく会計処理されていることに依存するが、アナリストによれば、この点がインシデント中に悪用されたという。

CertiKは、次の投稿で攻撃の仕組みを詳述した:

「攻撃者は、US$ 64,8 millions の入金の後に、FleetCommander の totalAssets() の会計処理を複数の金庫で操作したことにより、特に Silo: Varlamore USDC Growth で、攻撃者がそれまでに事前に蓄積してこの間に Ark に寄付していた分を回収し、US$ 70,9 millions を取り戻すことに成功した。」

分析によれば、FleetCommanderは金庫の管理を担当するスマートコントラクトであり、いっぽうArkは、当該プラットフォームで使用される貸付プロトコルとの間でこれらの金庫を統合している。

現時点で、Summer.fi のチームは、悪用された脆弱性の起源について詳細な説明をまだ公表していない。調査が続く一方で、セキュリティ企業は資金の移動を監視し続けており、DeFi プロトコルにおける同様の攻撃を防ぐために新たな保護措置が実装されるかどうかを評価している。

Tags