昨日、分散型取引所「SushiSwap」で脆弱性を突いた攻撃が行われ、約4.4億円(1800ETH相当)の損失が発生したことが報告されました。
現在19個のチェーンに対応している分散型取引所のSushiSwapは、TVL(Total Valued Locked)として4.5億ドルを記録しているプロダクトで、EthereumやArbitrumがその大部分を占めています。*DeFiLlama参照
今回行われた攻撃は「RouterProcessor2」コントラクトの承認に起因しているとされており、流出した資金の大部分は「beaverbuild」や「Lido Finance」に送付。現在、影響を受けた資金の一部(300ETH)は回収が完了しており、Sushiチームはさらなる資金の回収を行うために、Lidoチームと協力し解決策を探っているとしています。
4月10日午前7時に投稿されたSushiSwapのJared Grey氏のツイートによると、現在悪用されたコントラクトは削除済で「Sushiで安全にスワップ/トレードができるようになった」としています。
また、DeFi Llamaの0xngmi氏は、過去2週間にSushiSwapで行われた承認がすべて脆弱性を孕んでいる可能性があるため、リボークや資金の移動を行うべきだとユーザーに警告しています。
今回のSushiSwapでの資金不正流出は、不適切なコールバック関数が設定されていたことが原因とされるなか、一部Twitterユーザーによると、SushiSwapのスマートコントラクトコードをChatGPTに学習させ指示したところ、今回の資金流出の原因となった箇所と同じ部分が、脆弱性として数秒で特定されたとしています。
先日、4月1日にUniswap V3のライセンスが失効したことを受け、SushiSwapがUniswap V3のフォークとなるSushiSwap V3をローンチしていたことが明らかとなりました。
関連:CT Analysis 『Uniswap v3の商用ライセンス失効の影響と直近の戦略分析』レポートを無料公開
今年1月に発表されたロードマップによると、SushiSwapチームは今後DEXアグリゲーションビジネスへの参入を予定しており、2022年にはステルスでアグリゲーションルーターの構築を行っていたとしています。
Euler Financeでの資金不正流出など、DeFi分野における不祥事が続くなか、今後さらなる規模拡大を狙うSushiの動向に注目が集まります。
2023年第1四半期の合計損失額は4.37億ドル、Immunefiが報告
記事ソース:Twitter、Medium
The post 分散型取引所「SushiSwap」で4.4億円規模の不正流出|一部資金は回収済 appeared first on CRYPTO TIMES