インバースファイナンス、サイバー攻撃により1,500万ドルを失う
概要
Defiプロジェクトの大きな損失の1週間で、別のDefiベースのプロトコルであるInverse Financeは、サイバー攻撃で1,500万ドルを失いました。3月27日から4月2日までの週に、現在Defi史上最大の盗難であるRoninNetworkから6億2500万ドルが盗まれました。その週の間に、OlaFinanceは彼らも460万ドルでハッキングされたと発表しました。
インバースファイナンスは、2020年に作成されたイーサリアムベースの融資プロトコルです。分散型自律組織(DAO)に成長し、INVトークンはそのエコシステムのガバナンストークンです。このプロトコルは、別のトークンであるDOLAトークンも提供します。これは、プロトコルの下で借用および借用できる米ドルのステーブルコインです。アンカーとは、DOLAやETHなどの他のトークンを介した貸付および借入のマネーマーケットを指します。
セキュリティホールはどのように発生したか?
Twitterのスレッドで、Inverse Financeは、アンカー通貨市場が未知の操作の対象となったと報告しました。ツイートによると、ハッカーはSushiswap Oracleプロトコルのセキュリティ上の欠陥を悪用し、DOLA、ETH、WBTC、YFIなどの約1560万ドル相当のトークンを盗みました。
ブロックチェーンセキュリティおよびデータ分析会社のPeckshieldは、このエクスプロイトの状況についていくつかのツイートを投稿しました。ツイートによると、ハッカーはOracleの価格操作の脆弱性を悪用しました。ハッカーがINVの価格を操作したため、価格が急騰し、プラットフォームからの借り入れの担保として使用されました。Etherscanのレポートによると、トランザクション中に9枚のコインが転送されました。ハッカーは1588ETH、1156xINV、94WBTC、4000DOLA、1780INV、39YFIを盗み、総額は約1,560万ドルでした。
事件のその後
攻撃を受けて、Inverse Financeは、影響を受けたすべてのユーザーに払い戻しを行うように取り組んでいると報告されています。彼らはまた、損失を取り戻すためにアンカーマネーマーケットでの貸付サービスを停止した。大量の公共資産を持つDAOとして、Inverse FinanceはTwitterアカウントを開設し、DAOの利害関係者に最新情報を投稿および提供しています。
Twitterアカウントからのいくつかの更新には、Chainlinkがアンカーマネーマーケットで使用されるTWAPOracleに取って代わることが含まれています。ただし、INV価格フィードバックが流動性要件を満たしている場合、プロトコルはアップグレードされます。チェーンリンクのコミュニティアンバサダーであるTwitterユーザー「ChainLinkGod」は、TWAPオラクルの脆弱性の影響のいくつかについて簡単な分析を提供しました。
多くのブロックチェーン初心者にとって、この攻撃で最も一般的な概念の1つはオラクルです。インバースファイナンスのハッカーは、TWAPオラクルの脆弱性を悪用して違法な活動を行いました。
オラクルとは?
ブロックチェーンOracleは、スマートコントラクトを外部と接続するサードパーティのサービスです。目的は、外部情報をブロックチェーンに書き込み、ブロックチェーンと実世界の間のデータ交換を完了することです。ブロックチェーンに関する限り、それらはパブリックリソースと相互作用するように構築されておらず、主にチェーン内で生成されたデータを格納します。したがって、オフチェーンソースと対話する前に追加のプロトコルが必要です。
スマートコントラクトがブロックチェーンに基づいている場合、オフチェーンソースからオンチェーンソースへの情報の安全な転送を保証するためにオラクルが必要です。
インバースファイナンスのアンカーマネーマーケットの場合、ユニスワップ時間加重平均プロトコル(TWAP)は、イーサリアムベースのトークン間の為替レートを提供するために使用されるオラクルの価格です。
チェーンリンクとは?
Chainlinkは、オフチェーンデータソースからオンチェーンデータソースにデータを提供するオラクルの分散型ネットワークです。これらは、スマートコントラクトをブロックチェーン外の実際の情報と安全な方法で接続するのに役立ちます。Chainlinkは、プルーフオブステークコンセンサスメカニズムによって維持されるイーサリアムベースのネットワークです。
TWAPと同様に、ChainlinkもEthereumベースのトークンの価格フィードバックを提供します。SmartContentは、この記事でChainlinkとTWAPを比較しています。レポートとChainLinkGodによるツイートに記載されているように、ChainlinkにはTWAPに比べて明確な比較優位があります。つまり、TWAPの時間サンプリングが短すぎるということです。
この記事で言及されているもう1つの重要な利点は、TWAPがスケーラブルなセキュリティを提供しないのに対し、Chainlink Price Feedsは、価値が増加するにつれてOracleネットワークに対してより高いレベルの保護を提供することです。
まとめ
InverseFinanceの創設者であるNourHaridyは、プラットフォームがどのように機能すると予想されるかについて、 Mediumの投稿で詳しく説明しています。
ハッカーの手がかりは未だに掴めておりませんが、インバースファイナンスは失われた資金を返還しました。
Defiプラットフォームは、このようなインシデントの再発を防ぐために、より厳格な対策を講じることが期待されています。
著者:Gate.io研究者M. Olatunji翻訳者:Joy Z.
免責事項:
*この記事は研究者の意見を表すものであり、取引に関するアドバイスを構成するものではありません。
*この記事の内容はオリジナルであり、著作権はGate.ioにあります。転載が必要な場合は、著者と出典を明記してください。そうでない場合は、法的責任を負います
