分散型金融(DeFi)を取り扱うプラットフォームのEuler Financeがフラッシュローン攻撃に見舞われ、1億9700万ドル(約263億円)分のデジタル資産が流出したことが分かりました。

Hackers steal $197 million in crypto in Euler Finance attack
https://www.bleepingcomputer.com/news/security/hackers-steal-197-million-in-crypto-in-euler-finance-attack/

フラッシュローンとは、1つのトランザクションの中で借り手が貸し手から無担保で融資を受け、その資金を好きなことに使うことができる仕組みを指します。借り手は一般的に資金を裁定取引(アービトラージ)に使い、ある仮想通貨を価格が低い取引所で買い、価格が高い取引所で売ることで、利益を得ようとします。こうした取引を含め、融資から返済までの一連の流れはすべて同じトランザクションで同時に実行されるため、借りてから返すまでの時間は通常数秒です。

こうした仕組みを悪用し、不正に価格を操作して多額の利益を得ようとする行為がフラッシュローン攻撃です。

2023年3月12日、Euler Financeはフラッシュローン攻撃により1億9700万ドル分のデジタル資産を失い、同社が発行するトークン「Euler」の価格は一晩で50％近く下落しました。

流出したデジタル資産には、DAIやWBTC、USDC、stETHなど、複数のトークンが含まれていました。ただし、流出したもののうち大部分を占める1億3580万ドル(約182億円)分のstETHは追跡されているため、犯人が資金を使用可能な形に変換することは困難であると考えられています。

ブロックチェーンのセキュリティおよび分析会社であるPeckShieldは、Eulerの清算システムのロジックに欠陥があったと報告しています。PeckShieldによると、システムは犯人が担保を超えた金額を取り扱っていることや、担保と融資資金の変換レートが正しいかを検証していなかったため、犯人は変換レートを操作し、清算の際に多額の利益を得ることに成功したとのこと。

Euler Financeを運営するスタートアップのEuler Labsは、セキュリティの専門家や法執行機関と連携し、準備が整い次第より多くの情報を公開すると発表しました。