マキナ・ファイナンスで7.9億円流出──DUSD・USDCのCurveプールがハッキング被害

ブロックチェーンセキュリティ企業サーティックは20日、分散型金融（DeFi）プロトコル「マキナ・ファイナンス」が攻撃を受け、約500万ドル（約7.9億円）相当の資金が流出したと報告した。今回被害に遭ったのはDUSDdialectic-usd-vaultおよびUSDCUSDCで構成されるステーブルスワップとなっており、価格形成の仕組みを突いた攻撃手法が用いられたという。

フラッシュローンとオラクル操作を攻撃に悪用

サーティックによると、攻撃者は同一ブロック内で完結する無担保借り入れの仕組みである「フラッシュローン」を利用し、まず2億8,000万USDCを調達。そのうち1億7,000万USDCを用いて、プロトコルの価格決定プロセスに関わる「マシンシェアオラクル」の操作を実行したという。

この歪められた価格を前提に、ステーブルスワッププール内で残りの1億1,000万USDCで取引を行うことで、実際の市場価値とはかけ離れたレートで資金を吸い出したとされている。

しかし、流出した資金の大部分にあたる約414万ドル（約6.5億円）は、最終的に攻撃者本人ではなく、「MEVビルダー」と呼ばれる取引順序を最適化するインフラ運用者のアドレスに送金されていた。

MEVビルダーはネットワーク上の取引順序を最適化し、その過程で発生する利益を抽出する役割を担っている。今回は攻撃未遂と本攻撃が別アドレスによるものだったことから、MEVボットが自動的にフロントランを起こし、その結果として資金の大半を受け取った可能性がある。

被害はUSDC側に集中、既存流動性提供者に引き出しを推奨

マキナ・ファイナンスは21日、公式Xを通じてインシデント報告を公表した。今回の影響はDUSD・USDCプールに流動性を提供しているユーザーに限定されていると説明。特に被害がUSDC側に集中しているとし、該当プールに流動性を提供しているユーザーに対してDUSD側へ引き出しするよう促している。

また、同社はすでに流出資金を手にした関連アドレスに対し、接触を試みていることも明らかにした。資金を手にしたのが悪意のある攻撃者でなかったことからも、マキナ・ファイナンスは資金回収に向けた協力が得られる可能性に強い期待を示している。

マキナ・ファイナンスは今後、リカバリーモードの解除と安全な資金引き出しの準備を進めるとしており、後日、事後分析レポートを共有する予定だという。今後、資金回収や信頼性回復に向けた同社の動きが注目されそうだ。

関連：445億円相当の仮想通貨が盗難──ハードウェアウォレット詐欺で
関連：暗号資産被害が1年で6,316億円に激増──詐欺被害64%増の衝撃

※価格は執筆時点でのレート換算（1ドル＝158円）

関連銘柄：dialectic-usd-vaultUSDC