昨年4月、ハッカーがオプティミズムベースのDeFiプロトコル「Hundred Finance」のバグを悪用し、740万ドルを盗み出した。
1年以上の沈黙の後、盗まれた資金が動き始めました。
水曜日のロンドン時間午前10時25分頃、ハッカーは、1年以上前にトークンを使用して流動性を提供していた分散型取引所カーブから、約80万ドル相当のイーサとテザーのUSDTステーブルコインを引き出した。
引き出し後、ハッカーは分散型取引所Uniswapを使用してUSDT、およびPAXG、WOO、FRAX、DAIなどの他の暗号通貨を少量ずつイーサに交換しました。
合計すると、この取引によりウォレットのイーサ保有量は100万ドル強増加した。
ハッカーは現在、420万ドル相当のイーサ、120万ドル相当のDAI、85万9000ドル相当のSynthetixのsUSDステーブルコイン、および少量のラップドイーサ、FRAX、SNX、ラップドビットコインを保有している。
なぜハッカーがこんなに時間が経ってから突然資金の移動を始めたのかは不明だ。ハッカーがまだウォレットを掌握し、取引の背後にいるのなら、盗んだ資金を現金化しようとしている兆候かもしれない。
ハッカーは盗んだ暗号通貨をビットコインやイーサに変換して、より簡単に法定通貨に交換することがよくあります。
ハッカーは現金化できるのか?
ハッカーが盗んだ暗号通貨を現金化することはますます困難になる可能性があります。
集中型暗号通貨取引所を通じて資金を現金化しようとする前に、ハッカーはハッキングを実行したウォレットと資金を結び付ける追跡チェーンを破壊する必要がある。
これまで、ハッカーは資金洗浄にサムライウォレットなどの暗号通貨ミキサーやトルネードキャッシュなどのプライバシープロトコルを利用してきました。
しかし、世界中の規制当局は、暗号通貨ユーザーが取引履歴を難読化できる方法を厳しく取り締まっている。
4月24日、欧州議会は新たなマネーロンダリング防止規制の一環として暗号通貨ミキサーを禁止することを決議した。
その後、4月25日、司法省は暗号通貨ミキサーSamourai Walletの創設者2名をマネーロンダリング共謀と無認可の送金事業運営共謀の罪で起訴した。
Samourai Wallet のようなケースでは、米国当局が暗号通貨ミキサーのサーバーを管理し、操作不能にしました。
こうした強制措置により、ユーザーは仮想通貨ミキサーやプライバシープロトコルの使用を控えるようになった。2022年9月、プライバシープロトコル「トルネードキャッシュ」の開発者は、仮想通貨セキュリティ企業エリプティックに対し、プロトコルの流動性が低いため、ユーザーは100ドルを混ぜるのにも苦労していると語った。
ハンドレッドファイナンスのハッキング事件:1年後
Hundred Finance は、ユーザーが暗号通貨を貸し借りできる人気の貸付プロトコル Compound v2 から分岐したプロトコルです。
2023年4月15日、ハッカーがHundred Financeのコードのバグを悪用し、預金者から約740万ドルを盗みました。
ハッカーは、プロトコルが引き出しを処理する方法における丸め誤差を悪用し、少量のラップドビットコインを担保として使用して、本来引き出せるはずだったよりも多くの資産を引き出すことができました。
この攻撃を受けて、ハンドレッド・ファイナンスはまず、ハッカーの逮捕と盗まれた資産の回収につながる可能性のある情報に対して50万ドルの懸賞金を出すと発表しました。
その後、プロトコルは、残りの90%を安全に返還する代わりに、盗まれた資金の10%、約74万ドルをハッカーに提供することで、資金の返還交渉を試みた。
盗まれた資金を回収する試みは両方とも失敗し、Hundred Financeのトークン保有者は8月9日にプロジェクトを閉鎖することを投票で決定した。
Tim Craig は DL News の DeFi 特派員です。ヒントはありますか? tim@dlnews.com までメールしてください。