今日の情報が、明日の君をつくる。

DeFiレンディングプラットフォームbZx、失った800万ドルの回収に成功。

分散型金融(DeFi)のレンディングサービスとして人気のbZxは、ハッカーの攻撃により失った800万ドル(約83億7600万円)相当の仮想通貨の回収に成功したと発表しました。

800万ドル相当、無事回収

9月14日bZxの公式アカウントは、今週初めに悪意あるハッカーの攻撃により失った800万ドル(約83億7600万円)相当の仮想通貨を回収することに成功したと明らかにしました。

この事件は攻撃を受けた際スマートコントラクトの重大なバグにより失ったもので、ハッカーは2139,199.66LINK・4,500.7ETH・175万USDT・141万USDC・667,988.8DAIを不正に作成できてしまいました。

監査企業PeckshieldとCertikによって監査されたにも関わらず発生しており、原因は特定できなかったと説明していましたが、bZxへのこのような攻撃は今年に入り今回で3度目です。

なおこれら800万ドル相当の仮想通貨をどのように回収できたか詳細を明らかにしていません。CoinDeskによればbZxの広報担当者のコメントとして、オンチェーン活動を利用してプロトコルを悪用するハッカーを追跡することに成功したと述べています。

その後ハッカーは800万ドル相当の仮想通貨を返還することに同意したと報じられています。

バグはすでに修正済み

ハッカーは欠陥のあるコードを使ってbZxプロトコルを悪用し、資産を複製したりbZx上で発行されるトークンiTokensの残高を増やすことに成功していました。この悪用に気づくとbZxはiTokensの生成とバーンを一時停止し、残高が修正された後に再開しています。

そのため顧客資産には影響がなく、損失は保険基金にて埋められると発表していました。このようなバグは以前から指摘されていたものの、なぜ2つの監査企業が特定できなかったのか疑問が取りざたされています。

今回の事件に対しCertik は、監査中にいくつかの問題が特定され修正が終わったことを明らかにし、脆弱性は「共通のERC残高転送コードにガスの最適化が適用された結果、データがメモリにコピーされ、その後ストレージ内で変更されたデータが再利用された」ことで起きたと説明しています。

またPeckshieldは「セキュリティは旅である」と主張し、プロトコルの監査で16のセキュリティ問題が発見され修正したことを明らかにしました。

今後もbZxと協力してプロトコルを再調査し「主要なブロックチェーンデータ指標のリアルタイムモニタリングを設定する計画」があることを明らかにしています。