ディセントラライズドファイナンス(DeFi)プラットフォームのLI.FIプロトコルが、約800万ドルの損害を受けるエクスプロイト(不正アクセス)に遭遇しました。このエクスプロイトは、LI.FIブリッジに関連していると報告されています。オンチェーンデータによると、疑わしい引き出しが連続して行われました。
LI.FIは、ユーザーが様々なブロックチェーン、取引所、ブリッジ間で取引できるようにするプロトコルです。盗まれた資金を含むウォレットには、5.8百万ドル相当のイーサリアム(ETH)1,715個と、USDC、USDT、DAIなどのステーブルコインが保管されています。
セキュリティ企業のDecurityによると、このエクスプロイトはLI.FIブリッジに関連しています。「`depositToGasZipERC20()`を介したユーザー制御データによる任意の呼び出しの可能性が原因である」とDecurityは述べています。この関数は5日前にデプロイされたGasZipFacetに存在します。
LI.FIは、「現在、LI.FIを動力とするアプリケーションとのやり取りは控えてください。潜在的なエクスプロイトを調査中です。無限承認を設定していない場合、リスクはありません」と述べています。
Immunefiの報告によると、2024年上半期にはハック、エクスプロイト、ラグプルによって4億7300万ドル相当の暗号資産が失われました。
【ニュース解説】
ディセントラライズドファイナンス(DeFi)は、ブロックチェーン技術を活用して中央機関の介在なく金融サービスを提供するシステムです。LI.FIプロトコルは、このDeFiの一環として、異なるブロックチェーン間で資産を移動させるブリッジ機能を提供していました。しかし、最近になって約800万ドル相当の資産が不正に引き出されるという事件が発生しました。この事件は、LI.FIブリッジのセキュリティ上の欠陥を突かれたものと見られています。
このようなエクスプロイトは、ブロックチェーンのスマートコントラクトに存在する脆弱性を悪用することで発生します。スマートコントラクトは、あらかじめ定められた条件が満たされたときに自動的に実行されるプログラムですが、プログラムの設計ミスやコーディングの不備があると、攻撃者によって予期せぬ方法で操作されるリスクがあります。今回の事件では、新しくデプロイされたコントラクトの一部である`depositToGasZipERC20()`関数を通じて、攻撃者が任意のコードを実行できる状態になっていたとされています。
この事件の影響は、LI.FIプロトコルを利用していたユーザーや、DeFiエコシステム全体の信頼性に及びます。ユーザーは自身の資産を守るために、無限承認(無制限にトークンを移動できる権限)を設定しないよう警告されています。また、DeFiプラットフォームはセキュリティの強化が急務であり、このような事件が繰り返されることで、規制当局からの監視が強まる可能性があります。
一方で、この技術のポジティブな側面としては、ブロックチェーンを利用した金融サービスが、従来の金融システムに比べて低コストで迅速に提供できる点が挙げられます。また、世界中どこにいてもインターネット接続があればアクセス可能であり、金融包摂の促進にも寄与する可能性があります。
しかし、技術の新しさと複雑さから、セキュリティ面での課題が多く残されています。今後、DeFiプラットフォームはより堅牢なセキュリティ対策を講じることが求められるでしょう。また、規制当局はこのような新しい技術に対応するための法規制を整備する必要があります。長期的には、DeFiの安全性が向上し、より多くの人々が安心して利用できる環境が整えられることが期待されます。
from Defi Protocol LI.FI Struck by $8M Exploit.
