DeFi(分散型金融)プラットフォームで多発するフラッシュローン攻撃によりBeanstalkが230億円相当を失う

2022年4月19日 16時25分

仮想通貨取引所のような中心となる存在がないことから「分散型」と表現される分散型金融(Decentralized Finance：DeFi)プラットフォームの1つ、Beanstalkが攻撃者に狙われ、1億8200万ドル相当、日本円にして約230億円の損失を出したことが報じられています。

Beanstalk Governance Exploit | Beanstalk

https://bean.money/blog/beanstalk-governance-exploit

DeFi Project Beanstalk Loses $182 Million in Flash Loan Attack - Bloomberg

https://www.bloomberg.com/news/articles/2022-04-18/defi-project-beanstalk-loses-182-million-in-flash-loan-attack

Beanstalk cryptocurrency loses $182m of reserves in flash ‘attack’ | Cryptocurrencies | The Guardian

https://www.theguardian.com/technology/2022/apr/18/beanstalk-cryptocurrency-loses-182m-of-reserves-in-flash-attack

Beanstalk cryptocurrency project robbed after hacker votes to send themself $182 million - The Verge

https://www.theverge.com/2022/4/18/23030754/beanstalk-cryptocurrency-hack-182-million-dao-voting

攻撃者が利用したのはDeFiの特徴的な仕組みの1つである、1つのトランザクション内でローンを借り入れて返済するのであれば無担保・無利子で借り入れができるという「フラッシュローン」です。

Beanstalkの発表によると、攻撃者は協定世界時4月17日12時24分ごろ、フラッシュローンを悪用して、ユーザー資産約7600万ドル(約97億円)を攻撃者の管理するウォレットへ送金したとのこと。

ブロックチェーンに関するセキュリティとデータ分析を扱うPeckShieldは、攻撃者が手に入れた金額が8000万ドル超(約103億円)で、被害総額はさらに多くなると推計。ニュースサイトのBloombergやThe Guardian、The Vergeなどは総額を1億8200万ドル相当(約233億円)と報じています。

Hi, @BeanstalkFarms, you may want to take a look: https://t.co/wyHe3ARZgU— PeckShield Inc. (@peckshield) April 17, 2022

1/ The @BeanstalkFarms was exploited in a flurry of txs (https://t.co/PMsdP5dnJG and https://t.co/wyHe3ARZgU),
leading to the gain of $80+M for the hacker (The protocol loss may be larger), including 24,830 ETH and 36M BEAN.— PeckShield Inc. (@peckshield) April 17, 2022

2/ The hack is made possible due to the flashloan-assisted (immediate) pass of BIP18, which was submitted one day ago (https://t.co/4TocPkMna0). The BIP18 leads to the crafted code execution with the governance privilege to drain the pool fund. pic.twitter.com/qLYk7jhTCG— PeckShield Inc. (@peckshield) April 17, 2022

3/ To illustrate, we use the hack tx and show the key steps below pic.twitter.com/9N71BvQfGb— PeckShield Inc. (@peckshield) April 17, 2022

「フラッシュローン」を悪用した攻撃はすでに複数件の報告があるもので、2021年8月にDeFiプラットフォーム・Cream Financeが30億円相当の損失を出しており、2021年上半期だけでも総額520億円相当の被害が出ています。

30億円相当の仮想通貨をハッカーがDeFiプラットフォームから盗み出す、同様事例の被害額は520億円超に - GIGAZINE

今回の攻撃者が過去のいずれかの攻撃に関与しているかどうかは明らかではありません。なお、攻撃者は5万ドル相当(約3200万円)の仮想通貨をウクライナに寄付していることが確認されています。

4/ The initial funds to launch the hack are withdrawn from @SynapseProtocol and most of the result gains are deposited to @TornadoCash. Currently 15,154 ETH still stays in the hacker’s account. Note the hacker donates 250k USDC to Ukraine Crypto Donation. pic.twitter.com/jBjUJ0JbGj— PeckShield Inc. (@peckshield) April 17, 2022