今月、少なくとも14のDeFiプロジェクトがハッキングされ、総損失額は2.5億ドルを超えました。

この記事はChain Catcherのオリジナル記事で、著者は谷 昱、Alysonです。

今年に入ってからDeFi業界は急速に発展し、多くのDeFiプロジェクトが次々と登場し、総ロックアップ額は最高で900億ドルに達しましたが、多くのプロジェクトのコード監査が厳格でないなどの理由から、これらは多くのハッカーの攻撃対象となっています。特に5月には、DeFiのセキュリティ事故の頻度が大幅に上昇しました。
Chain Catcherの統計によると、今年に入ってからDeFi業界では合計27のプロジェクトがハッカーの攻撃を受けており、今月だけでも少なくとも14のプロジェクトが攻撃を受け、平均して2日に1つのDeFiプロジェクトが攻撃され、総損失は少なくとも2.5億ドルに達し、DeFiの歴史の中で最も攻撃頻度が高く、損失が大きい月となりました。
具体的には、今月攻撃を受けたDeFiプロジェクトにはBurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi、EOS Nation、xToken、Rari Capital、Value DeFi、Spartanが含まれます。
その中で、フラッシュローンが最も主要なハッカー攻撃手法であり、少なくとも7つのプロジェクトがこれにより攻撃を受けました。BSCはハッカーが最も活発に攻撃を行うプラットフォームであり、少なくとも11回の攻撃がBSCのパブリックチェーンで発生しました。攻撃金額は一般的に大きく、少なくとも7つのプロジェクトの損失金額が1000万ドルを超え、最も大きいVenusの損失金額は1億ドルを超えました。
以下はChain Catcherによる今月の14件のDeFiプロジェクトの攻撃事件の詳細整理です：
1、BurgerSwap
損失金額：約700万ドル
概要：5月28日、BSCベースのAMMプロジェクトBurgerSwapがフラッシュローン攻撃を受け、432874個のBURGERが盗まれました。
2、Julswap
損失金額：不明
概要：2月28日、BSCベースのAMMプロジェクトJulswapがフラッシュローン攻撃を受け、コイン価格が最高で90%下落しました。
3、Merlin
損失金額：約68万ドル
概要：5月26日、BSCエコシステムの自動収益アグリゲーターMerlinがハッカーの攻撃を受け、getRewardコードに存在する脆弱性により、大量のCAKEトークンが手動でVault契約に移転され、約59,000個のMERLが増発され、240個のETHが得られました。
処理案：チームはユーザーに補償トークンcMERLをエアドロップする予定であり、このトークンの保有者は補償プールからBNB報酬を受け取ることができます。同時に、追加の開発チーム資金はトークン価格を回復するための焼却および買い戻し活動に使用されます。
4、 AutoShark Finance
損失金額：約82万ドル
概要：5月25日、BSCベースの固定金利プロトコルAutoShark Financeがフラッシュローン攻撃を受け、LPの価値計算の誤りと手数料取得数の誤りの下、SharkMinter契約が攻撃者の貢献を計算する際に非常に大きな値を計算し、攻撃者に大量のSHARKトークンが鋳造され、価格が1.2ドルから0.01ドルに急落し、攻撃者は82万ドルを得ました。
処理案：公式は新しいトークンJAWSを発行し、損害を受けたユーザーに補償することを発表しました。
5、 Bogged Finance
損失金額：300万ドル
概要：5月23日、BSCベースのアグリゲート取引プラットフォームBogged Financeは、ハッカーがBOGトークン契約のステーキング機能の脆弱性を利用してフラッシュローン攻撃を行ったと公式に発表しました。ハッカーはPancake Pair Swapコードを利用し、契約の検証が完了する前にステーキング報酬を引き出し、1500万以上のBOGトークンが鋳造され、これらのトークンの大部分はBOGのステーキング者に配分される予定でした。
処理案：新しいコインを発行し、盗まれたBOGトークンをステーキングユーザーに返還します。
6、 Pancake Bunnny
損失金額：約4200万ドル
概要：5月20日、BSCベースのDeFi収益アグリゲーターPancakeBunnyがフラッシュローン攻撃を受け、114631枚のBNBと697245枚のBUNNYが盗まれ、後者はハッカーによって大量に鋳造されて売却され、価格は240ドルから急落し、一時は2ドルを下回りました。CertiKセキュリティチームの調査によると、PancakeBunnyはPancakeSwap AMMを使用して資産価格を計算しているため、ハッカーはフラッシュローンを悪用してAMMプールの価格を操作し、Bunnyの鋳造時の計算上の問題を利用して攻撃を成功させました。
処理案：PancakeBunnyは新しいトークンpBUNNYを発行し、補償プールを作成して、BUNNYの元の保有者にトークン価格の急落による損失を補償します。
7、 Venus
損失金額：1億ドル超
概要：5月18日の夜、BSCベースのDeFi貸付プラットフォームVenusのトークンXVSが大口投資家によって2倍に引き上げられ、その後XVSを担保資産として借り入れ、1億ドル以上のBTCとETHを移転しました。その後、担保資産XVSの価格が急落し、清算の危機に直面しましたが、XVS市場の流動性不足によりシステムは迅速に清算できず、Venusは1億ドルの巨額損失を被りました。
処理案：Venusは外部機関に一部のXVSトークンを販売してプラットフォームの損失を補填します。
8、 FinNexus
損失金額：700万ドル
概要：5月17日、オンチェーンオプションプロトコルFinNexusがハッカーの攻撃を受け、ハッカーはFNXトークン契約管理者の秘密鍵を復元することに成功し、攻撃者は3.23億枚以上のFNXを鋳造し、中央集権的および分散型取引所で販売し、価格が暴落しました。
処理案：FinNexusチームは新しいコインを発行し、ハッカー侵入前にFNXを保有していたすべてのユーザーに1対1で補償すると発表しました。DEXの流動性提供者はより高い損失を被ったため、追加の補償を受けます。
9、 bEarn Fi
損失金額：約1086万ドル
概要：5月16日、BSCベースのクロスチェーンDeFiプロトコルbEarn FiのbVaultsのBUSD-Alpaca戦略がフラッシュローン攻撃を受け、プール内の約1086万BUSDが消失しました。
処理案：bEarn Fiは、残りの貯蓄資金、開発資金、DAO資金、およびプロトコルからの一部の手数料で構成される補償基金を設立すると発表しました。その後、残高のスナップショットを取得して補償契約を展開します。
10、 EOS Nation
損失金額：1500万ドル
概要：5月14日、EOS Nationのフラッシュローンスマートコントラクトが再入攻撃を受け、約120万EOSと46.2万USDTが盗まれました。
処理案：flash.sxは、失われたすべての資金がeosio.prodsの安全管理下にあり、ハッカーのEOSアカウント権限を変更する提案を開始したと述べており、承認されれば資金がユーザーに返還されます。
11、 xToken
損失金額：約2500万ドル
概要：5月13日、DeFiステーキングおよび流動性戦略プラットフォームxTokenがフラッシュローン攻撃を受け、xBNTa BancorプールおよびxSNXa Balancerプールの流動性が即座に消失し、約2500万ドルの損失を引き起こしました。
処理案：xTokenチームは、XTK供給総量の2%を盗まれた損失の補填に使用する計画を発表しました。
12、 Rari Capital
損失金額：1400万ドル
概要：5月8日、DeFiスマートアドバイザー協定Rari CapitalのETH資金プールに、Alpha Finance Labプロトコルの統合による脆弱性が発生し、ハッカーは補助契約を展開してibETH中のibETHトークンの価格を操作し、Rariは1400万ドルの巨額損失を被りました。
処理案：Rari Capitalは、チーム規模を拡大するために使用する予定の200万枚の予備RGTをDAOに返還し、攻撃の影響を受けたユーザーを補償し、貢献者に報酬を与えます。
13、 Value DeFi
損失金額：2回合計1500万ドル
概要：EthereumとBSCに基づくDeFiプロトコルValue DeFiは、5月5日と5月7日にそれぞれ2回攻撃を受けました。最初の攻撃はValue DeFiのProfitSharingRewardPool契約のコード脆弱性に起因し、そのvStakeプールが影響を受け、20万BUSD以上と8790BNBを超える損失が発生しました。2回目の攻撃はValue DeFiのvSwap契約のコード脆弱性に起因し、IRON Financeの一部のプールと製品が攻撃されました。
処理案：チームは保険基金から8530 VALUEとマルチシグから122463 VALUE、合計130994 VALUEを使用して補償し、残りの251702 VALUEはチームのVALUEで補償します。
14、 Spartan
損失金額：3000万ドル
概要：5月2日、BSCベースの合成資産プロトコルSpartan Pools V1が攻撃を受け、流動性シェア計算の誤りによる脆弱性から、攻撃者は資金プールから約3000万ドルの資金を移転しました。
処理案：新しいSPARTAトークンを発行し、以前の攻撃によって損失を被った資金プールLPに対して未発行の2000万枚のトークンを補償します。