- 1 Cream Financeに約3000億円を使用した攻撃
- 2 Maker DAOのdss-flashとは?
- 3 MIP25: Flash Mint Module
- 4 Cream Finance攻撃概要
- 5 DefiDollar Finance(DUSD)とは?
- 6 攻撃のキーPeakとyUSDとは?
- 7 攻撃準備までの工程
- 8 Cream Financeがハックされた理由
- 9 Cream Financeの被害ユーザー
- 10 今回の攻撃で利益が出たユーザー
- 11 まとめ
イーサリアムのレンディングプロトコル”Cream Finance”は2021年に入って3度目となるフラッシュローンを活用したドレイン攻撃を受け、約150億円にのぼる被害となりました。この攻撃によりCream Financeが失った資産は200億円を超え、Poly Chainに続いてDeFi市場2番目に大きな被害となったのです。本稿ではCream Financeにどのような攻撃手法が取られ、誰が被害を受けたのかについて関連コントラクトの仕組みを知らない人向けにに詳しく解説を行います。
フラッシュローンについては墨汁マガジンVol.381「イーサリアム上のDeFiフラッシュローンはハッキングなのか?攻撃が起きた理由と詳しい概要」を参照してください。
Cream Financeに約3000億円を使用した攻撃
Cream FinanceはイーサリアムのレンディングプロトコルであるCompound Financeをフォーク(コピー)したプロジェクトで、2021年にはいって2月に約40億円、8月に約20億円の同様の被害にあっており、今回の3回目はこれまでとは比べ物にならない高額な被害額の約150億円となり被害合計は210億となっています。
Creamハッカーは5億DAIとETHをフラッシュローンで使用して約150億円以上の資産をCream Financeからドレインして利益を上げたのです。この攻撃によりCream FinanceのガバナンストークンであるCREAMは30%の下落となりました。
今回のCream Financeへの攻撃は約70の取引が行われている非常に複雑な攻撃となっています。順を追ってハッカーがどのようにしてCream Financeを攻撃し、約150億円の利益を上げたのを見てみましょう。
Maker DAOのdss-flashとは?
Creamハッカーは約570億円という巨額なフラッシュローンをMaker DAOを利用して行っており、dss-flashというMakerのプロトコルを使用しているのです。
dss-flashとは
「Maker DAOでDAIを発行する際、担保に対して最大発行可能数のDAIを発行するフラッシュローンプロトコル」
です。
MIP25: Flash Mint Module
dss-flashはMakerの
