Solana基盤のステーブルコインプロジェクトCashioハッキング発生
はじめに
Wormhole事件でSolana-ETHブリッジの脆弱性をアタッカーに狙われ多額のETHとSOLが盗まれた事件がありましたが,今度はSolana基盤のステーブルコインプロジェクトであるCashioで無限ミントグリッチによってCASHトークンの価値が1USDからほぼゼロにまで急落する事件が発生しました.正直またかと思いましたが,2800万ドル相当がハッキングにより流出したのが原因のようです.
Cashioハッキング事件の現在までの経緯
ソラナ基盤のステーブルコインを発行するプロジェクトで2021年11月にリリースされました.SaberでUSDT-USDCの流動性提供のLPトークンをデポジットすることで誰でもUSDにペッグしたCASHトークンを発行できるのが特徴です.SaberはUniswapのようにAMM型の分散型取引所をソラナ上で提供するDappのことです.
今回の攻撃手法は,スマートコントラクトコードの脆弱性を突いて担保を提供せずに多量のCASHトークンをミントすることが行われました.Solscanを見るとアタッカーが20億CASHを発行し,全てを他のステーブルコインにSaber上でスワップしたのが分かります.Saberはこの事件発生直後にCASH関連の流動性プールすべてを停止したとアナウスしました.
この結果,1USDにペッグされるCASHトークンは一気に0.00005 USDまで下落することになりました(記事執筆時点では0.000098 USDまで回復してます).
Cashioの開発者である0xGhostChainはCASHのミントを行わないように注意喚起し,開発チームが事件を調査中であると発表しています.
前回Wormholeハックでも技術的なハッキング手法の詳細を紹介していたSamczsun氏が今回も事件の原因と攻撃手法について報告しています( この人はやけに詳しいなと思ったらParadigmともリサーチ契約してるようです).
昨年似たような事件でいくつかのDefiプロジェクトでハッキングが発生していますが,これほどの被害規模になったのはソラナ人気のためで皮肉な結果となりました.
CryptoBriefingの記事によれば最近発生したNFTのラグプルに関連した犯人と同一犯である可能性が指摘されています.OpenSeaで同一人物がアカウントを作っていた形跡や犯人のものと見られるパブリックアドレスにFTXから入金があったことなどから,犯人が特定されるのは時間の問題でしょう.
おわりに
プログラムは人が作るものですから脆弱性を全部なくすことは不可能です.しかしすでに似たようなハッキング事件が発生している場合はその脆弱性が監査やテスト中に発見されていなければおかしいはずです.コード監査を受けずにパブリックリリースされていた今回のようなケースは正気の沙汰とは思えません(間違っていたらすいませんコードの監査を受けた証拠が見つかりませんでした).今回の事件で突かれた脆弱性を考察すると少し運営側の体制不備を疑います.コード監査を受けていても防げない脆弱性はやはり存在しますが,そういったものはバグ報奨金プログラムを通じてハッカー側に協力してもらうインセンティブ設計が欠かせません.現在のソラナのエコシステムはα版相当もしくはそのレベルに到達していないDAppが立ち上がってそれがパブリックネットにいきなりリリースされているため多額の資金が監査を受けていないスマートコントラクト上に集まっており非常に危険な状態だと考えられます.ETH基盤でも問題がないわけではありませんが,これだけ被害額が大きくなっているのは過大評価されて急成長したプロジェクトの危険性を示しています.投資は自己責任ですが,運営側もユーザから多額の資金を預かっている責任と自覚が欠如しているのは大問題だと思います.おそらくきちんと補償する方向で話はまとまるでしょうが,こういう事件が繰り返されるのはDeFi業界がまだまだ未熟な証拠でしょう.
コメント
コメントを投稿