Wasabi Protocolで管理者キー侵害
ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)が、分散型金融(DeFi)プロトコル「ワサビプロトコル(Wasabi Protocol)」において管理者キーの侵害により資金が流出した事象を4月30日に報告した。
同日、ブロックチェーンセキュリティ企業サーティック(CertiK)も同事象について報告した。サーティックによると、被害額はイーサリアム(Ethereum)、ベース(Base)、ブラスト(Blast)、ベラチェーン(Berachain)を含む複数チェーンで約550万ドル(約8.7億円)規模に上るという。
またブロックエイドによると、今回の事象ではワサビの管理者キーが第三者に奪われたという。攻撃者はその鍵を使い、自身のアドレスを新たな管理者として追加したとのこと。ブロックエイドはこれにより、プロトコルの重要な設定を変更できる状態になったと説明している。
その後、攻撃者は資金を管理するボールトやプールの中身を、自身が資金を引き出せる内容に書き換え、権限を用いた不正操作により資金を外部へ移動させたとのこと。
ブロックエイドは、今回影響を受けたボールトで発行されたLPトークンについて「侵害されたもの」として扱うべきだと説明している。これらのトークンは、ユーザーが資金を預けた際に受け取る引き換え証のようなもので、通常はこれを返すことで預けた資産を引き出せる。
同社によると、今回の事象ではこれらのトークンの裏付けとなる資産がすでに引き出されているか、管理者キーが有効な限り流出するリスクがあるという。
そのため、ユーザーのウォレット上では価格が表示されるものの、実際に交換できる価値は0、またはそれに近い状態になっていると説明されている。
またサーティックによると、資金流出後、侵害されたキーは別のアドレスに管理者権限を付与したという。その後、その新たなアドレスが元の管理者に付与されていたすべての権限を削除したとのことだ。
このため同社は、現在は当初侵害されたキーではワサビを操作できない状態になっていると説明している。また同社は、この攻撃経路による追加の資金流出は困難だとしている。
このような状況から、スマートコントラクトのコード上の不具合ではなく、管理権限の設計に起因する可能性が複数の分析で指摘されている。単一の外部所有アカウント(EOA)が広範な管理権限を持ち、マルチシグやタイムロックといった制御が導入されていなかった点が背景にあるとされる。
この点については、オンチェーン調査で知られるザックXBT(ZachXBT)氏も、自身のXアカウントで、単一の外部所有アカウント(EOA)が基本的なセーフガードなしに広範な制御権を持っていた点に疑問を呈している。
なお、ワサビプロトコルの公式Xアカウントでは、問題の認識と、現在調査が進められていることが4月30日に発表された。同プロトコルは予防措置として、当面の間、コントラクトとやり取りしないようユーザーに呼びかけている。
また同プロトコルチームは、シール911(SEAL_911)やブロックエイドを含むセキュリティチームと連携して対応していると説明した。同プロトコルは、法執行機関およびFBIにも連絡済みとしている。
同プロトコルチームは、詳細が判明次第、追加の情報を共有するとしている。
参考:ブロックエイド(X)・サーティック(X)
画像:PIXTA
関連ニュース
- ケルプDAO、rsETH不正流出で約2.8億ドル規模の影響。アーベ等にも波及
- ドリフトのハッキング、半年にわたる接触と署名蓄積型の攻撃か。不正流出の経緯明らかに
- ケルプDAO、rsETH不正流出で約2.8億ドル規模の影響。アーベ等にも波及
- ゼータチェーン、クロスチェーン取引を一時停止。ゲートウェイEVMへの攻撃で
- 【取材追記】スイのレンディング「Scallop」でインシデント発生、約15万SUIが不正流出
おすすめコンテンツ
ポッドキャストでニュースをチェック!
