カーブ・ファイナンスで資産流出が発覚！DeFiの構造的な弱点が狙われた？

DeFi(分散型金融)大手取引所のCurve Finance(カーブ・ファイナンス)がハッキングの被害に遭い、多額の資産が流出したことが明らかになりました。他にもいくつかのDeFiプラットフォームが同様の被害を受けており、システムの構造に問題があった可能性があります。

※1ドル＝142.6円で換算

Curve Financeの特徴

Curve Financeは2020年8月にローンチした、暗号資産(仮想通貨)のDeFiプラットフォームです。他の多くのDeFiと同じく、Ethereum(ETH：イーサリアム)のネットワークをベースに運用されています。

取り引きできる仮想通貨(トークン)はステーブルコインに限られており、Ethereumのウォレットがあれば簡単に取り引きを開始できます。非常に低い手数料で、ステーブルコインのスワッピングができるというメリットもあります。

また一般的な取引所のようなオーダーブックを使用せず、AMM(自動マーケットメーカー)が一定の価格アルゴリズムに従い、流動性プールを介して取り引き価格のマッチングを図ります。この流動性プールが、今回のハッキングに関わっている可能性があるのです。

Curve Finance取引所の仕組み

Curve Financeは完全な分散型プロトコルであり、Curve DAO(分散型自律組織)が運営しています。ネイティブ・トークンはCRVです。表の取引所の仕組みのように、Curve Financeは流動性プールで資産を活用するユーザーに対して、高額な報酬や高い利回りを約束しています。

ステーブルコインに特化した取り引きで、レンディング・プロトコルを利用することで投資家は高い利益を得ることができます。しかしそのためには、市場での流動性を高める必要があり、Curve Financeは利用者に以下のような多くのインセンティブを用意しています。

事前に指摘されていたリスク

Curve FinanceはTrail of Bits(トレイルオブビッツ)とQuantstamp(クアントスタンプ)というセキュリティ監査企業により信頼性が保障されています。しかし完全にリスクがゼロというわけではありません。

以前から指摘されているリスクの1つは、DeFiプロトコルの信頼性です。Curve Financeはユーザーの利益を生み出すため、他のプロトコルと流動性プールを共有します。

そのため、もしも他のプロトコルにトラブルが生じたり、ハッカーによる攻撃があったりすると、その影響が連鎖的に及んでしまう危険性があるのです。

ハッキング被害の現状

今回のハッキング被害が報告されたのは、2023年7月31日のことでした。Curve Financeから流出した資産は、複数の流動性プールで合計4,700万ドル(約67億円)以上と見られています。

またCurve Finance以外にも、Ellipsis、Alchemix、JPEGd、MetronomeなどのDeFiプラットフォームが被害に遭っています。

被害の原因に挙げられているのが、Vyper(バイパー)というプログラミング言語を利用している流動性プールの脆弱性です。Vyperも「0.2.15 , 0.2.16 , 0.3.0」というバージョンに、不具合が発生する可能性を認めています。

ハッカーの手法は、リエントランシー攻撃と見られています。この攻撃はスマートコントラクトに繰り返し侵入し、外部への不正な送金操作などを行うもので、被害額が大きくなるという特徴があります。

ハッカーはリエントランシーに対する、流動性プールのセキュリティが脆弱なことを探り出し、スマートコントラクトから資産を盗み出したと考えられています。

2023年のハッカー被害は、第二四半期だけでも2億400万ドル(約291億円)が報告されています。Curve Financeを含めた資産流出事件を、DeFiエコシステム全体が緊急事態と受け止めているようです。同様の資産運用を行っている方は、十分に注意したほうがよいでしょう。